Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Antivirus XP Pro
Rokop Security > Security > HijackThis-Logs
Seiten: 1, 2
Meilow
Hi!
Bin neu hier
Mich hat es jetzt leider erwischt:( und bin für jede Hilfe dankbar
Hier mein Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:24:47, on 24.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\ps.BÜRO\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\WINDOWS\system32\ntdll64.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\wincmd\TOTALCMD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cityweb.de/cws/cws.homepage.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\pnpySByb.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\iebho.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] c:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\ps.BÜRO\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SansaDispatch] C:\Dokumente und Einstellungen\ps.BÜRO\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: WinCinema Manager.lnk = C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O20 - Winlogon Notify: 3gProp - C:\Programme\RSA Security\RSA Authenticator Utility\3gProp.dll
O20 - Winlogon Notify: NotifyP11Svc - C:\Programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll
O20 - Winlogon Notify: SOMCredMgr - C:\Programme\RSA Security\RSA Authenticator Utility\CredMgr.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Update Service (gupdate1c9a490a552657a) (gupdate1c9a490a552657a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RSA Authenticator Utility 1.0 P11 Service (RsaP11Svc) - RSA Security Inc - C:\Programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 13911 bytes
raman
Hallo Meilow,

du hast dir u.a. einen Zbot (twext.exe) eingefangen. Die Frage hier ist, ob du reinigen moechtest, oder lieber gleich den Rechner neu aufsetzt.

Was du inzwischen nicht machen solltest ist mit dem Rechner ins Internet zu gehen. Desweiteren solltest du _alle_ Passworte, vor allem zu deinen Onlinekonten, die du auf den Rechner nutzt/verwaltest, aendern. Diese Zbots sind bekannt dafuer alles moegliche an Passworte und andere Informationen sehr effektiv abzugreifen!

Alle diese Aenderungen natuerlich _nicht_ von dem infizierten Rechner erledigen

Meilow
Hi Ralf!

Danke für die schnelle Antwort.
Reinigen würd mir erstmal reichen. Was muss ich dazu machen?
Passwörter etc habe ich zum Glück nie auf dem Rechner gespeichert/verwaltet
raman
Dann mache bitte folgendes:

Temporäre Dateien beseitigen

Nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren) und säubere dort die Systemwiederherstellung über "weitere Optionen".
http://windowshelp.microsoft.com/Windows/d...7139d91031.mspx

-----------------------------------------------------------------------------------------------

mache einen Scan mit Malwarebytes -

http://www.malwarebytes.org/mbam.php

Lade es herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden,anhaken und entfernen lassen. Starte dein Rechner neu

Es ist hilfreich für den Mod im Sicherheitsforum, wenn dann das Reinigungslog von Malwarebytes mit in den Beitrag kopiert wird. (kann man auch als Anhang als txt-Datei machen)

Downloadlink, falls der Download von der Mbam Seite geblockt wird:
http://www.download.com/Malwarebytes-Anti-...4-10804572.html


Danach aktualisiere Antivir, stelle es so ein, ueberpruefe Laufwerk c: und poste den erstellten Report:
http://board.protecus.de/t23979.htm
Meilow
1000 Dank für Deine Hilfe.
Rechner läuft wieder. Freu smile.gif
Catweazle
Du solltest doch noch ein paar Log´s dazu posten whistling.gif

Sonst weißt, du wirklich nicht ob dein Rechner wirklich clean ist, so wollte es doch raman haben whistling.gif

Catweazle
Meilow
Hi!

Hier das neue Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:33:53, on 27.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\ps.BÜRO\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\wincmd\TOTALCMD.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cityweb.de/cws/cws.homepage.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] c:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\ps.BÜRO\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SansaDispatch] C:\Dokumente und Einstellungen\ps.BÜRO\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: WinCinema Manager.lnk = C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: 3gProp - C:\Programme\RSA Security\RSA Authenticator Utility\3gProp.dll
O20 - Winlogon Notify: NotifyP11Svc - C:\Programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll
O20 - Winlogon Notify: SOMCredMgr - C:\Programme\RSA Security\RSA Authenticator Utility\CredMgr.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Update Service (gupdate1c9a490a552657a) (gupdate1c9a490a552657a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RSA Authenticator Utility 1.0 P11 Service (RsaP11Svc) - RSA Security Inc - C:\Programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 13287 bytes

malware:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2036
Windows 5.1.2600 Service Pack 3

24.04.2009 15:18:07
mbam-log-2009-04-24 (15-17-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 103190
Laufzeit: 36 minute(s), 1 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 16
Infizierte Verzeichnisse: 3
Infizierte Dateien: 36

Infizierte Speicherprozesse:
C:\WINDOWS\system32\frmwrk32.exe (Trojan.Vundo.V) -> No action taken.
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{e81cf86b-f683-422a-b742-3f2427ea9d6a} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twext.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe,C:\WINDOWS\system32\twext.exe,) Good: (userinit.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Bifrost (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.Vundo.V) -> No action taken.
C:\WINDOWS\system32\NLNW41WY.dll (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\ps.BÜRO\Lokale Einstellungen\Temp\tmpD7.tmp.f90021f0c8d2d002.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\483.tmp (Trojan.Vundo.V) -> No action taken.
C:\WINDOWS\Temp\4A6.tmp (Trojan.Vundo.V) -> No action taken.
C:\WINDOWS\Temp\FW1fIx6P.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\Bifrost\klog.dat (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(2)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(2)(3).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(2)(4).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(3)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(4)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(5)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(6)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(7)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(8)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user(9)(2).ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\8Xu5g6O2.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\nlnwQYwy.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv261239615225.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv301240211733.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\ps.BÜRO\Lokale Einstellungen\Temp\mousehook.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\mousehook.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\twext.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\ps.BÜRO\delself.bat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\ps.BÜRO\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\TDSSb462.tmp (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\ps.BÜRO\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> No action taken.
raman
Du hast aber das gesamte Programm an Rats/Bots und anderer Malware. Du hast Mbam die Dinge, die es gemeldet hat auch reinigen lassen?

Laut Hijackthis ist da immer noch was, was Mbam gefunden hat. Du nutzt keinen Hintergund Waechter von Antivir? Denn das haette einiges der Malware melden muessen. Wenn nicht andere Malware dir den Guard deaktiviert haben sollte..... Laut HJT Eintrag ist der GUard nicht aktiv.

Das neu Aufsetzen ist immer noch die beste Alternative!

aktualisiere Mbam nocheinmal, mache einen scann, lasse alles reinigen und poste den entsprechenden Report.

Achte darauf, das du von deinen wichtigsten Daten ein aktuelles Backup hast, welches auch intakt ist und nutze dann Combofix :

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.
Meilow
Hi!

hier noch mal ein aktueller Mawarescan:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2036
Windows 5.1.2600 Service Pack 3

27.04.2009 15:05:04
mbam-log-2009-04-27 (15-05-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 102734
Laufzeit: 21 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Programme\RSA Security\RSA Authenticator Utility\NTNotify.exe,C:\WINDOWS\system32\twext.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\wpv811240648712.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.



Combofix hab ich noch nicht ausprobieren können
raman
Reiche das bei Gelegenheit bitte nach!
Voyager
Wenn er überhaupt in seine Windows Oberfläche reinkommt ?

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
raman
Klappt schon. Ist bei Mbam etwas irrefuehrend dargestellt. Der Userinit Eintrag bleibt erhalten, der Malwareeintrag fliegt raus
Meilow
Hi!

Also wenn ich Combofix von dem obigen Link downloade, bekomme ich folgende Viruswarning:

'Win32/Nircmd.A' wurde in D:\COMBOFIX(1).EXE entdeckt.
Computer: xxxx, Benutzer: xxxx\xx.
Dateistatus: Gelöscht
raman
Du sollst ja auch den Hintergrundwaechter deaktivieren. smile.gif
Voyager
Da sind sie wieder , die Helden der False Positives wink.gif

http://www.virustotal.com/de/analisis/ad6e...b2d1d1961d6a872

teddy247
also bin zwar kein malware spezialist wie andere, aber wenn ein security programm soviel malware passieren läßt ohne zu murren , oh mann... smile.gif


da ist wohl eine neuinstallation besser, sind das nicht 3 verschiedene trojaner??
phaze2
Hi mich hat auch erwischt.

hab zumind mal paar dateien wegbekommen...zumind findet hijack nichts mehr

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:36, on 02.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\StickyNote\StickyNote.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: StickyNote.lnk = D:\Programme\StickyNote\StickyNote.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.info/objects/NpFp415.dll
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader...ache=1207322465
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8166 bytes

TR/Dropper.gen

und laut malwarebytes ist auch nichts mehr infieziert, aber mein Antivir findet immer die datei TR/Dropper.gen
ich lösche zwar die datei und werd anschließend zum neustart aufgefordert und bei einer neusuche
wird, der trojan oder was das auch ist wieder gefunden.

kann mmir da jemand wieterhelfen??

danke schon mal
raman
Wo, in welcher Datei meldet ANTIVIR den TR/Dropper.gen noch? Es waere auch interessant, welche Dateien du noch geloescht hast, bzw ob Mbam vorher etwas geloescht hat(Report dazu posten)
phaze2
also, das ist mal der report von antivir: hab die datei grad nochmals gelöscht sad.gif(



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. Mai 2009 21:07

Es wird nach 1373854 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BABYFACE

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 02.05.2009 18:07:34
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:28
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 18:07:34
ANTIVIR3.VDF : 7.1.3.141 21504 Bytes 02.05.2009 18:07:34
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 18:07:34
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 02.05.2009 18:07:34
AESCN.DLL : 8.1.1.10 127348 Bytes 02.05.2009 18:07:34
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:42
AEPACK.DLL : 8.1.3.14 397685 Bytes 02.05.2009 18:07:34
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:58
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 02.05.2009 18:07:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:58
AEGEN.DLL : 8.1.1.39 348532 Bytes 02.05.2009 18:07:34
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 02.05.2009 18:07:34
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 02.05.2009 18:07:34
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:22
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 02.05.2009 18:07:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 2. Mai 2009 21:07

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20090502-210852-1F1F8F0D.avp' geschrieben.
c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\alkan\lokale einstellungen\temp\ovfsthyuiqylbesm.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\alkan\lokale einstellungen\temp\ovfstheqxtadsiwu.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\alkan\lokale einstellungen\temp\ovfsthnwmcosrlmx.tmp
[INFO] Die Datei ist nicht sichtbar.


Ende des Suchlaufs: Samstag, 2. Mai 2009 21:08
Benötigte Zeit: 01:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
14 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
7 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
53870 Objekte wurden beim Rootkitscan durchsucht
21 Versteckte Objekte wurden gefunden

phaze2
also der genaue ort lautet:

c:\windows\system32\drivers\ovfsthpfmeqrdhbapqdmcmladrofymjxnvvmy.sys

wenn der doch geladen ist, während windows läuft geht doch gar nicht das ich den löschen kann..bzw das ich den virus wegbekomme, oder??
raman
Ja, da hast du dir ein TDSS rootkit eingefangen. Daten sichern und neu aufsetzen. Wahlweise Daten sichern und Combofix nutzen:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Wenn du noch weisst, wo, oder durch welchen Download du dir das eingefangen hast, dann immer her mit den Infos...
phaze2
ok, danke bin grad dabei combofix zu erledigen.

leider kann ich weiterhelfen wie und wo ich den virus eingefangen hab. heut morgen war nichts und als ich den rechner
das einzige was sein könnte, das ich auf seiten war wo ich nen fussball stream geschaut habe. usstream wars glaub ich

aber ich seh grad combofix ist grad löschen und neustarten des rechner infos gibts leich im post.
Voyager
ZITAT
das ich auf seiten war wo ich nen fussball stream geschaut habe


hattest du auf deinem Windows immer die Patche eingespielt ? ich sehe hier die mögliche Schwachstelle wie das passiert sein konnte.
phaze2
wie meinst das mit einspielen von patche?

ne das waren webplayer, wo ich direkt auf der seite angeschaut habe.

so das ist meine auswertung von combofix: oder kann ich die datei irgendwo einfügen, damit es ein wenig übersichtlicher wird?

ComboFix 09-05-02.4 - Alkan 02.05.2009 21:23.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Alkan\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Temporary Internet Files\fbk.sts
c:\windows\38896.exe
c:\windows\77338.exe
c:\windows\system32\erolisiz.ini
c:\windows\system32\uniq.tll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SEAGATE_COMMUNICATION
-------\Service_Seagate Communication


((((((((((((((((((((((( Dateien erstellt von 2009-04-02 bis 2009-05-02 ))))))))))))))))))))))))))))))
.

2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-02 18:10 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-02 17:50 . 2009-05-02 17:50 -------- d-----w c:\programme\Enigma Software Group
2009-05-02 16:59 . 2009-05-02 18:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-02 16:59 . 2009-05-02 16:59 -------- d-----w c:\programme\Avira
2009-05-02 15:22 . 2009-05-02 15:22 -------- d-----w c:\programme\Trend Micro
2009-05-02 14:27 . 2009-05-02 14:27 -------- d-sh--w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\.#
2009-04-30 20:43 . 2009-04-30 20:43 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\skypePM
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-04-17 21:10 . 2005-07-26 04:29 60416 ------w c:\windows\system32\dllcache\colbact.dll
2009-04-17 21:10 . 2009-03-06 13:59 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-17 21:10 . 2009-02-06 09:41 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-17 21:10 . 2009-02-09 10:00 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-17 21:10 . 2009-02-09 10:00 473088 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-17 21:10 . 2009-02-09 09:48 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-17 21:10 . 2009-02-09 10:00 678912 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-17 21:10 . 2009-02-09 10:00 740864 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-17 21:08 . 2008-04-21 21:25 217600 ------w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 19:26 . 2007-12-20 18:41 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-02 14:39 . 2009-02-02 14:39 51200 --sha-w c:\windows\system32\kolubagu.exe
2009-05-01 17:54 . 2008-01-05 23:39 138168 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-05-01 17:54 . 2008-01-05 23:38 189472 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-20 18:27 . 2009-04-20 18:27 4904 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-04-20 18:27 . 2001-08-18 10:00 506972 ----a-w c:\windows\system32\perfh007.dat
2009-04-20 18:27 . 2001-08-18 10:00 104100 ----a-w c:\windows\system32\perfc007.dat
2009-03-27 15:25 . 2008-01-05 23:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe
2009-03-16 19:54 . 2009-03-16 19:54 -------- d-----w c:\programme\Microsoft Office Outlook Connector
2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\programme\Microsoft
2009-03-16 19:50 . 2009-03-16 19:50 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-11 15:18 . 2007-12-20 19:13 46096 ----a-w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-06 13:59 . 2001-08-18 10:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2001-08-18 10:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 23:18 . 2009-01-23 16:01 168592 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe
2009-02-09 13:14 . 2001-08-18 10:00 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:39 . 2001-08-18 02:28 2065280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:39 . 2001-08-18 10:00 2188416 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:01 . 2001-08-18 10:00 736256 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:00 . 2001-08-18 10:00 740864 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:00 . 2001-08-18 10:00 678912 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:00 . 2001-08-18 10:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 09:48 . 2001-08-18 10:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 09:54 . 2001-08-18 10:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:52 . 2001-08-18 10:00 56320 ----a-w c:\windows\system32\secur32.dll
2008-11-14 14:58 . 2007-12-20 20:34 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-11-14 14:58 . 2007-12-20 20:34 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-14 14:58 . 2007-12-20 20:34 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-11-14 14:58 . 2007-12-20 20:34 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-11-14 14:58 . 2007-12-20 20:34 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
StickyNote.lnk - d:\programme\StickyNote\StickyNote.exe [2007-12-21 318976]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Acrobat Assistant 7.0"="d:\programme\Adobe\Distillr\Acrotray.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033
"BigDogPath"=c:\windows\VM_STI.EXE Philips SPC 200NC PC Camera
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NokiaMServer"=c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"d:\\Programme\\BearShare\\BearShare.exe"=
"d:\\Spiele\\Counterstrike\\cstrike.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"d:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Programme\\hlsw\\hlsw.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"d:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\System32\\PnkBstrA.exe"=
"c:\\WINDOWS\\System32\\PnkBstrB.exe"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\age2_x1.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\empires2.exe"=
"d:\\Spiele\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"d:\\Spiele\\Need for Speed MW\\speed.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"d:\\Programme\\Steam\\steamapps\\babyface187\\counter-strike\\hl.exe"=
"d:\\SpieleKONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"d:\\Spiele\\COD5\\CoDWaWmp.exe"=
"d:\\Spiele\\COD5\\CoDWaW.exe"=
"d:\\Spiele\\COD5\\CoDWaW_LANFixed.exe"=
"d:\\Spiele\\FIFA 09\\FIFA09.exe"=
"c:\\Dokumente und Einstellungen\\Alkan\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\WINDOWS\\System32\\dpnsvr.exe"=
"c:\\WINDOWS\\System32\\DXDiag.exe"=
"d:\\Spiele\\EA Games\\Battlefield2\\BF2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-04-12 13352]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
R3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
R3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
R3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
R3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
R3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
R3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\DRIVERS\s816bus.sys [2007-06-19 81832]
R3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]
R3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]
R3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]
R3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]
R3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s816obex.sys [2007-06-19 97320]
R3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\DRIVERS\s816unic.sys [2007-06-19 97704]
R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\svcntaux.exe [2007-08-02 729416]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-02 108289]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E1FF3E6-CB7E-08D2-9208-CEAD26BD849F}]
c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe s
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = go.microsoft.com/fwlink/?LinkId=69157
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.info/objects/NpFp415.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1207322465
FF - ProfilePath - c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Mozilla\Firefox\Profiles\1qu4bk6h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: d:\programme\Adobe\Acrobat\browser\nppdf32.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\programme\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-02 21:27
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys 90112 bytes
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll 65536 bytes
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat 16384 bytes
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll 24576 bytes
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll 24576 bytes
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat 8192 bytes
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat 8192 bytes
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll 65536 bytes
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll 24576 bytes
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll 24576 bytes
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat 8192 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000 0 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp 114688 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp 344064 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp 139264 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 15

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1177238915-823518204-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c2,dc,b3,a5,6a,7c,31,53,d1,58,09,1e,3e,55,1b,81,ff,cc,eb,70,8f,
28,f1,a7,93,e9,17,9f,7f,5b,68,6c,4e,ab,3c,0a,9c,c7,66,2d,2b,91,b3,bc,95,24,\
"rkeysecu"=hex:57,c8,56,fa,55,e0,1c,c5,e2,b4,6e,9a,3b,5d,9b,e2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2984)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\BRSS01A.EXE
c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
d:\programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\SYSTEM32\PNKBSTRA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-02 21:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-02 19:29

Vor Suchlauf: 2.717.876.224 Bytes frei
Nach Suchlauf: 2.736.119.808 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
275 --- E O F --- 2009-05-02 00:11
raman
Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
QUELLTEXT
http://www.rokop-security.de/index.php?showtopic=18591&st=20&#entry272899

Driver::
ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy

collect::
c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp
c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
phaze2
also, dass ist mal das ergebnis:

ComboFix 09-05-02.4 - Alkan 02.05.2009 21:53.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.705 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Alkan\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Alkan\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)

file zipped: c:\windows\system32\drivers\Collect_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
file zipped: c:\windows\system32\Collect_ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat.vir
file zipped: c:\windows\system32\Collect_ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat.vir
file zipped: c:\windows\system32\Collect_ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat.vir
file zipped: c:\windows\system32\Collect_ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat.vir
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp
c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthlhrqjknijenkvwqomqytepavbotsvcni


((((((((((((((((((((((( Dateien erstellt von 2009-04-02 bis 2009-05-02 ))))))))))))))))))))))))))))))
.

2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-02 18:10 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-02 17:50 . 2009-05-02 17:50 -------- d-----w c:\programme\Enigma Software Group
2009-05-02 16:59 . 2009-05-02 18:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-02 16:59 . 2009-05-02 16:59 -------- d-----w c:\programme\Avira
2009-05-02 15:22 . 2009-05-02 15:22 -------- d-----w c:\programme\Trend Micro
2009-05-02 14:27 . 2009-05-02 14:27 -------- d-sh--w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\.#
2009-04-30 20:43 . 2009-04-30 20:43 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\skypePM
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-04-17 21:10 . 2005-07-26 04:29 60416 ------w c:\windows\system32\dllcache\colbact.dll
2009-04-17 21:10 . 2009-03-06 13:59 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-17 21:10 . 2009-02-06 09:41 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-17 21:10 . 2009-02-09 10:00 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-17 21:10 . 2009-02-09 10:00 473088 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-17 21:10 . 2009-02-09 09:48 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-17 21:10 . 2009-02-09 10:00 678912 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-17 21:10 . 2009-02-09 10:00 740864 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-17 21:08 . 2008-04-21 21:25 217600 ------w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 19:56 . 2007-12-20 18:41 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-02 14:39 . 2009-02-02 14:39 51200 --sha-w c:\windows\system32\kolubagu.exe
2009-05-01 17:54 . 2008-01-05 23:39 138168 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-05-01 17:54 . 2008-01-05 23:38 189472 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-20 18:27 . 2009-04-20 18:27 4904 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-04-20 18:27 . 2001-08-18 10:00 506972 ----a-w c:\windows\system32\perfh007.dat
2009-04-20 18:27 . 2001-08-18 10:00 104100 ----a-w c:\windows\system32\perfc007.dat
2009-03-27 15:25 . 2008-01-05 23:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe
2009-03-16 19:54 . 2009-03-16 19:54 -------- d-----w c:\programme\Microsoft Office Outlook Connector
2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\programme\Microsoft
2009-03-16 19:50 . 2009-03-16 19:50 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-11 15:18 . 2007-12-20 19:13 46096 ----a-w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-06 13:59 . 2001-08-18 10:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2001-08-18 10:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 23:18 . 2009-01-23 16:01 168592 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe
2009-02-09 13:14 . 2001-08-18 10:00 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:39 . 2001-08-18 02:28 2065280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:39 . 2001-08-18 10:00 2188416 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:01 . 2001-08-18 10:00 736256 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:00 . 2001-08-18 10:00 740864 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:00 . 2001-08-18 10:00 678912 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:00 . 2001-08-18 10:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 09:48 . 2001-08-18 10:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 09:54 . 2001-08-18 10:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:52 . 2001-08-18 10:00 56320 ----a-w c:\windows\system32\secur32.dll
2008-11-14 14:58 . 2007-12-20 20:34 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-11-14 14:58 . 2007-12-20 20:34 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-14 14:58 . 2007-12-20 20:34 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-11-14 14:58 . 2007-12-20 20:34 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-11-14 14:58 . 2007-12-20 20:34 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-02_19.27.27 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-20 18:43 . 2009-05-02 19:22 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-12-20 18:43 . 2009-05-02 19:52 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-12-20 18:43 . 2009-05-02 19:52 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-20 18:43 . 2009-05-02 19:22 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-20 18:43 . 2009-05-02 19:52 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2007-12-20 18:43 . 2009-05-02 19:22 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
StickyNote.lnk - d:\programme\StickyNote\StickyNote.exe [2007-12-21 318976]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Acrobat Assistant 7.0"="d:\programme\Adobe\Distillr\Acrotray.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033
"BigDogPath"=c:\windows\VM_STI.EXE Philips SPC 200NC PC Camera
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NokiaMServer"=c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"d:\\Programme\\BearShare\\BearShare.exe"=
"d:\\Spiele\\Counterstrike\\cstrike.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"d:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Programme\\hlsw\\hlsw.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"d:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\System32\\PnkBstrA.exe"=
"c:\\WINDOWS\\System32\\PnkBstrB.exe"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\age2_x1.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\empires2.exe"=
"d:\\Spiele\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"d:\\Spiele\\Need for Speed MW\\speed.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"d:\\Programme\\Steam\\steamapps\\babyface187\\counter-strike\\hl.exe"=
"d:\\SpieleKONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"d:\\Spiele\\COD5\\CoDWaWmp.exe"=
"d:\\Spiele\\COD5\\CoDWaW.exe"=
"d:\\Spiele\\COD5\\CoDWaW_LANFixed.exe"=
"d:\\Spiele\\FIFA 09\\FIFA09.exe"=
"c:\\Dokumente und Einstellungen\\Alkan\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\WINDOWS\\System32\\dpnsvr.exe"=
"c:\\WINDOWS\\System32\\DXDiag.exe"=
"d:\\Spiele\\EA Games\\Battlefield2\\BF2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-04-12 13352]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
R3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
R3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
R3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
R3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
R3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
R3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\DRIVERS\s816bus.sys [2007-06-19 81832]
R3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]
R3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]
R3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]
R3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]
R3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s816obex.sys [2007-06-19 97320]
R3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\DRIVERS\s816unic.sys [2007-06-19 97704]
R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\svcntaux.exe [2007-08-02 729416]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-02 108289]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E1FF3E6-CB7E-08D2-9208-CEAD26BD849F}]
c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe s
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = go.microsoft.com/fwlink/?LinkId=69157
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.info/objects/NpFp415.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1207322465
FF - ProfilePath - c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Mozilla\Firefox\Profiles\1qu4bk6h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: d:\programme\Adobe\Acrobat\browser\nppdf32.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\programme\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-02 21:57
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1177238915-823518204-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c2,dc,b3,a5,6a,7c,31,53,d1,58,09,1e,3e,55,1b,81,ff,cc,eb,70,8f,
28,f1,a7,93,e9,17,9f,7f,5b,68,6c,4e,ab,3c,0a,9c,c7,66,2d,2b,91,b3,bc,95,24,\
"rkeysecu"=hex:57,c8,56,fa,55,e0,1c,c5,e2,b4,6e,9a,3b,5d,9b,e2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\BRSS01A.EXE
c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
d:\programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\SYSTEM32\PNKBSTRA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-02 21:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-02 19:59
ComboFix2.txt 2009-05-02 19:29

Vor Suchlauf: 2.662.637.568 Bytes frei
Nach Suchlauf: 2.736.685.056 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
282 --- E O F --- 2009-05-02 00:11
Hochladen war erfolgreich


hoffe ihr könnt mir weiterhelfen
Catweazle
Mach das was raman dir vorgeschlagen hatte, bitte.

Und wen ihr weiter gekommen seit, zwecks der MALWARE bekämfung, also eventuell dein Rechner Clean sein sollte, oder auch nicht, spiele bitte den Service Pack 3 auf auch SP3 gennant. Aber auch bein einer NEUINSTALLATION, kann man alles machen.

Aber ich will den Proifis, nicht vorgreifen.

Mache Bitte das was raman, dier geschreiben hatte.

Catweazle
phaze2
so wollte es doch raman haben, dachte ich. ich hätt die notepad dateien, aufs combofix ziehen sollen und anschließend, den
neuen report/log-datei ins forum posten sollen. das hab ich gemacht.

also, das pop-up fenster sollte das uploaden des neuen logs bewirken, oder hab ich das falsch interpretiert??


@Catweazle

also als das SP3 neu rauskam hatte ich es mal installiert gehabt, aber danach hatte ich nur probleme. bin nicht ins
netz gekommen, alles wurde langsamer und hab dann ne systemwiederherstellung gemacht.
raman
phaze2, das was du gemacht hast war richtig. Das Rootkit ist nun weg.

Du hast noch 2 Dateien im Quarantaene Ordner:

C:\Qoobox\Quarantine\C\WINDOWS\38896.exe.vir
C:\Qoobox\Quarantine\C\WINDOWS\77338.exe.vir

Die Dateien sind anscheinend recht gross.
Koenntest du sie hier hochladen?
http://www.bleepingcomputer.com/submit-mal....php?channel=49

Nutze bitte auch noch MBR.EXE:

* Downloade die MBR.exe von Gmer http://www2.gmer.net/mbr/mbr.exe und
* speichere es auf Deinem Desktop.
* Mache einen Doppelklick auf das Programm, um es zu starten.
* Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
* Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
* Poste mir den Inhalt dieser Logdatei hier in den Thread.
phaze2
also die 38896.exe.vir kann ich als datei leider nicht hochladen, das es knapp über 7mb groß ist

die zweite datei hab ich gerade erflogreich hochgeladen.

soll ich jetzt trotzdem mal mit mbr anfangen?
raman
Oh man, ich vergess immer die haelfte... sad.gif


Koenntest du das auch noch hochladen?
c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe

Teste die beiden Dateien bitte auch bei www.virustotal.com
Es kann sein, das du den Explorer so einstaellen musst, das du die Dateien sehen kannst:
http://freenet-homepage.de/rene-gad/invisible.html


Nachtrag: Ja, mbr Report bite auch posten. Dauert nur Sekunden...
raman
Zu deiner hochgeladenen Datei!

77338.exe.vir Backdoor.Win32.mIRC-based

sad.gif

Es waere nett, wenn du die anderen Dateien noch testen lassen koenntest, aber hier hilft wirkllich am besten den PC neu aufzusetzen, bzw das zeitnah zu machen.

Wenn du die andere Datei durch "packen" verkleinerst, ist sie dann klein genug fuer den Upload?
Voyager
ich kann mir momentan nicht wirklich vorstellen das die ganze Malware über einen infizierten Fussball Stream gekommen ist , obwohl es vll. möglich wäre durch ungepatchten Browser und dann wurde alles nach und nach nachgeladen ?!
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe
das hier ist vom letzten Monat .

2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll
das ist auch verdächtig.
phaze2
das ist mal von mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.5 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86cb1008

user & kernel MBR OK


leider ist die datei immernoch zu groß. ich bekomm immernoch von antivir den virenbescheid TR/Dropper.gen sad.gif

c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe

kann die beiden dateien nicht upload, da ich sie beim "durchsuchen" zum upload nicht funde, aber wenn ich sie so suche wie es mir beschrieben hab
waren sie zu sehen und wurden als VenDu virus erkannt


raman
Dann lade bitte die anderen beiden Dateien hoch und poste dann ein neuen Antivir Report. Mal sehen, wo es was meldet...
phaze2
c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe

kann die beiden dateien nicht uploaden, da ich sie beim "durchsuchen" zum upload nicht finde, aber wenn ich sie so suche wie es mir beschrieben hab
waren sie zu sehen und wurden als VenDu virus erkannt hab sie dann halt mal gelöscht, aber antivir läuft noch
raman
Der Link zu den Virustotal Ergebnissen waere hilfreich gewesen, aber auch kein grosses Problem...
phaze2
also hier mal der antivir-report:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. Mai 2009 23:11

Es wird nach 1373854 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Alkan
Computername : BABYFACE

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 02.05.2009 18:07:34
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:28
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 18:07:34
ANTIVIR3.VDF : 7.1.3.141 21504 Bytes 02.05.2009 18:07:34
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 18:07:34
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 02.05.2009 18:07:34
AESCN.DLL : 8.1.1.10 127348 Bytes 02.05.2009 18:07:34
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:42
AEPACK.DLL : 8.1.3.14 397685 Bytes 02.05.2009 18:07:34
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:58
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 02.05.2009 18:07:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:58
AEGEN.DLL : 8.1.1.39 348532 Bytes 02.05.2009 18:07:34
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 02.05.2009 18:07:34
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 02.05.2009 18:07:34
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:22
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 02.05.2009 18:07:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 2. Mai 2009 23:11

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StickyNote.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-172635-358.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-194557-986.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001149.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001150.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001156.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001218.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001220.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001221.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
C:\Qoobox\Quarantine\[4]-Submit_2009-05-02_21.53.16.zip
[0] Archivtyp: ZIP
--> Collect_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> Collect_ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou_.dll.zip
[0] Archivtyp: ZIP
--> ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthfdktnwkipyppsturcvbvstvsievirnbc_.dll.zip
[0] Archivtyp: ZIP
--> ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy_.sys.zip
[0] Archivtyp: ZIP
--> ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.1
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-172635-358.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5fbb5c.qua' verschoben!
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-194557-986.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5fbb5d.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001149.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2cbb2c.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001150.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5aca75.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001156.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b55339d.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001218.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b59d2bd.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001220.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b543bc5.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001221.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4935349d.qua' verschoben!
C:\Qoobox\Quarantine\[4]-Submit_2009-05-02_21.53.16.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a59bb30.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a62bb72.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou_.dll.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a72bb6b.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthfdktnwkipyppsturcvbvstvsievirnbc_.dll.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e226754.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49792433.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497e1c7b.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497f15a3.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c0deb.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49427d5b.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy_.sys.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4953769c.qua' verschoben!


Ende des Suchlaufs: Samstag, 2. Mai 2009 23:28
Benötigte Zeit: 16:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6073 Verzeichnisse wurden überprüft
229122 Dateien wurden geprüft
25 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
18 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
229094 Dateien ohne Befall
1581 Archive wurden durchsucht
3 Warnungen
19 Hinweise

Ergänzung von mir:

Die Datei 'C:\Dokumente und Einstellungen\Alkan\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a69b704.qua' verschoben


Die Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DGUYQANV\lsp[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6cb708.qua' verschoben!



und die beiden dateien konnte ich nicht hochladen, wie gesagt weil ich sie beim durchsuchen nicht gefunden hab,
sondern nur durch start/suchen finden konnte und anders wurden sie mir nicht angezeigt.

c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe


also am besten sollt ich, den rechner formartieren und winwods neu draufsetzen.

meine letzte frage lautet: wenn meine c partition von viren befallen ist, sind meine anderen partitionen auf der selben platte auch betroffen? oder kann ich getrost format c: machen und habe meine back up dateien auf den anderen partitionen?

ich danke euch für eure hilfe, aber heut ist mal genug fü+r mich. hab shcon ziemliches kopfweh bekommen.

werd mich mal morgen eventuell melden. einen schönen abend euch noch.

mfg alkan
Kenshiro
edit:

Ralf hast Recht, ich war noch nicht ganz wach stirnklatsch.gif
raman
Neu aufsetzen ist in diesem Fall wirklich das beste, sauberste und im endeffekt sogar das schnellste. Die Daten auf den anderen Partitionnen sollten bei dieser Art Infektion nicht betroffen sein. Auch wenn, wuerde diese erst wieder aktiv, wenn du die verseuchten Dateien starten wuerdest.

Eine "Anleitung" fuer das neu Aufsetzen findest du u.a. hier:
http://www.rokop-security.de/index.php?showtopic=17495

wichtig ist das installieren des SP3, bevor du das erste mal ins Internet verbindest.

Kenshiro, warum sollte er die Serno. weg lassen, ist eh die Free Version von Avira...

Nachtrag: Passworte solltest du ebenfalls alle aendern!
phaze2
Hab mich dazu entschieden das System neuaufzusetzen Windoff und SP3 sind schon drauf


aber hab noch eine frage:

in der installation wird ja angezeigt, das die zusätzliche partition im nachhinein zum C: laufwerk hinzugefügt wird. aber
ich bei meinem rechner kann ich beim ungeordneten nur "Primär partion" anwählen und sozusagen eine zusätzliche
Partition schaffen. aber ich wollte es eigentlich wie in der INstallationsanleitung zum C: laufwerk hinzufügen, aber leider weiss ich nicht
weiter, weil das Feld "erweiterte Partition" grau hinterlegt ist.

wisst ihr dazu vllt hilfe dazu?
Meilow
Hi!

Hab es endlich geschafft Combofix drüber laufen zu lassen. Hier das Log:

ComboFix 09-05-05.03 - ps 06.05.2009 10:18.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.431 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ps.BÜRO\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32\user.ds
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\twain_32\user.ds
C:\mimic.log
c:\programme\Mozilla Firefox\chrome\chrome\content\browser.js
c:\programme\update.exe
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\uniq.tll
c:\windows\system32\wbem\grpconv.exe
c:\windows\system32\win32hlp.cnf
c:\windows\Temp\tmp3.tmp

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir wurde wiederhergestellt


.
((((((((((((((((((((((( Dateien erstellt von 2009-04-06 bis 2009-05-06 ))))))))))))))))))))))))))))))
.

2009-04-30 10:56 . 2009-04-30 10:56 -------- d-sh--w c:\dokumente und einstellungen\NetworkService\IETldCache
2009-04-24 14:01 . 2009-04-24 14:01 -------- d-----w c:\windows\ie8updates
2009-04-24 13:50 . 2009-02-28 04:55 105984 -c----w c:\windows\system32\dllcache\iecompat.dll
2009-04-24 12:34 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-24 12:34 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-24 12:34 . 2009-04-24 12:34 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-24 12:34 . 2009-04-24 13:18 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-24 07:16 . 2009-04-24 07:16 -------- d-----w c:\programme\Trend Micro
2009-04-23 14:05 . 2009-04-23 14:05 -------- d-----w C:\T-Online
2009-04-21 11:13 . 2009-04-21 11:13 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
2009-04-21 07:05 . 2009-04-21 07:05 -------- d-sh--w c:\windows\system32\config\systemprofile\IETldCache
2009-04-21 06:56 . 2009-04-24 13:58 -------- dc-h--w c:\windows\ie8
2009-04-21 06:18 . 2008-04-14 02:23 26624 ----a-w c:\windows\system32\stu2.exe
2009-04-15 06:32 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 06:32 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 06:32 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 06:32 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 06:32 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 06:32 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 06:32 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 06:32 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 06:32 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 06:32 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-06 08:32 . 2005-01-27 08:31 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-05-06 08:29 . 2005-04-27 10:08 -------- d-----w c:\programme\FlashGet
2009-04-24 14:39 . 2005-03-17 12:58 3 ----a-w c:\windows\VMAPO.DAT
2009-04-24 07:01 . 2008-06-11 14:32 -------- d-----w c:\programme\a-squared Free
2009-04-24 06:26 . 2005-01-27 03:59 93698 ----a-w c:\windows\system32\perfc007.dat
2009-04-24 06:26 . 2005-01-27 03:59 479772 ----a-w c:\windows\system32\perfh007.dat
2009-04-23 13:52 . 2005-01-27 06:46 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-21 14:19 . 2007-11-19 15:23 -------- d-----w c:\programme\Java
2009-04-16 06:59 . 2008-09-18 14:07 -------- d-----w c:\programme\Arial CD Ripper
2009-04-07 12:26 . 2005-04-21 13:36 -------- d-----w c:\programme\Project64 1.6
2009-04-07 12:23 . 2008-02-29 14:48 -------- d-----w c:\programme\Emme
2009-04-04 12:09 . 2009-04-04 12:09 -------- d-----w c:\programme\Portrait Professional Max 6
2009-04-01 13:41 . 2007-04-05 08:20 -------- d-----w c:\programme\EUBogen_Uninstall
2009-04-01 13:41 . 2007-04-05 08:20 -------- d-----w c:\programme\EUBogen
2009-04-01 13:41 . 2005-10-14 08:14 -------- d-----w c:\programme\Zurich
2009-04-01 13:03 . 2005-06-03 08:43 -------- d-----w c:\programme\Bonndata
2009-04-01 08:21 . 2009-04-01 08:21 -------- d-----w c:\programme\Zattoo
2009-03-31 12:34 . 2009-04-21 11:12 164900 ----a-w c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1031.dat
2009-03-14 10:35 . 2005-02-06 13:08 -------- d-----w c:\programme\Google
2009-03-08 02:34 . 2005-01-27 03:59 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2005-01-27 03:59 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2005-01-27 03:59 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2005-01-27 03:59 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2005-01-27 03:59 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2005-01-27 03:59 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2005-01-27 03:59 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2005-01-27 03:59 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2005-01-27 03:59 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2005-01-27 03:59 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2005-01-27 03:59 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-18 13:19 . 2009-02-18 13:19 262144 ----a-w c:\windows\system32\default_user_class.dat
2009-02-09 14:04 . 2005-01-27 03:59 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-08-04 00:50 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2005-01-27 03:59 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2005-01-27 03:59 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2005-01-27 03:59 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2005-01-27 03:59 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2005-01-27 03:59 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2005-01-27 03:59 35328 ----a-w c:\windows\system32\sc.exe
2008-07-03 06:52 . 2003-12-19 23:17 62 ----a-w c:\programme\settings.ini
2003-12-20 01:04 . 2003-12-20 00:41 1319 ----a-w c:\programme\!!! readme !!!.txt
2003-12-20 00:47 . 2003-12-19 23:17 100864 ----a-w c:\programme\GBAReleaseLister.exe
2007-08-15 15:01 . 2007-08-15 15:01 48 --sh--w c:\windows\S7A1C7215.tmp
2005-03-17 13:25 . 2005-03-17 13:25 32 --sha-w c:\windows\{6443A51A-6E13-4ABE-84D9-E0B95CAF2A94}.dat
2005-02-06 13:08 . 2005-02-06 13:08 8 --sh--r c:\windows\system32\D5D86239B1.sys
2006-05-03 10:06 . 2008-03-10 10:22 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-03-10 10:22 31232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-03-10 10:22 27648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 . 2008-03-10 10:22 151040 --sh--w c:\windows\system32\VistaUltm.dll
2005-03-17 13:25 . 2005-03-17 13:25 32 --sha-w c:\windows\system32\{F24295C5-B3AB-4929-9C9A-AE29BEA14A8B}.dat
2008-01-16 10:57 . 2008-01-16 10:32 50208 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-01-16 10:37 . 2008-01-16 10:32 1056 --sha-w c:\windows\system32\drivers\fidbox2.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-12-09 1937408]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]
"SansaDispatch"="c:\dokumente und einstellungen\ps.BÜRO\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe" [2009-03-25 79872]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-10-18 204288]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-16 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2004-06-25 504080]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-02-06 180269]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 278528]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-23 136600]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-03-04 88209]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE" [2005-11-29 847872]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-9-27 1085440]

c:\dokumente und einstellungen\ps.BšRO\Startmen\Programme\Autostart\
Picture Motion Browser Medien-Prfung.lnk - c:\programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-4-23 390432]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
WinCinema Manager.lnk - c:\programme\Sandisk\Common\Bin\WinCinemaMgr.exe [2008-9-16 303104]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
CAPIControl.lnk - c:\programme\Telekom\Eumex 504PC USB\Capictrl.exe [2004-4-28 278528]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\3gProp]
2006-04-24 14:38 53936 ----a-w c:\programme\RSA Security\RSA Authenticator Utility\3gProp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NotifyP11Svc]
2006-04-24 14:36 49840 ----a-w c:\programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SOMCredMgr]
2006-04-24 14:41 33456 ----a-w c:\programme\RSA Security\RSA Authenticator Utility\credmgr.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave2"= serwvdrv.dll
"wave3"= serwvdrv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^ps.BÜRO^Startmenü^Programme^Autostart^Mobile Phone Manager.lnk]
path=c:\dokumente und einstellungen\ps.BÜRO\Startmenü\Programme\Autostart\Mobile Phone Manager.lnk
backup=c:\windows\pss\Mobile Phone Manager.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BlueSoleil Hid Service"=2 (0x2)
"AOL ACS"=2 (0x2)
"bgsvcgen"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\FlashFXP\\flashfxp.exe"=
"c:\\wincmd\\WINCMD32.EXE"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Sony\\Media Manager for PSP 2.5\\MediaManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JD-WinLauncher.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\AXA-BT\\COLSERV\\jre\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\AOL 9.0\\AOL.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57183:TCP"= 57183:TCP:*:Disabled:Pando P2P TCP Listening Port
"57183:UDP"= 57183:UDP:*:Disabled:Pando P2P UDP Listening Port

R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [20.11.2007 12:55 108768]
R2 AVWUpSrv;AntiVir Update;c:\programme\AVPersonal\AVWUPSRV.EXE [07.06.2005 11:34 45096]
R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\Capi20.sys [05.04.2004 08:57 966352]
R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [19.03.2003 14:36 37696]
R2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPortIO.SYS [26.08.2005 14:18 3584]
R2 RsaP11Svc;RSA Authenticator Utility 1.0 P11 Service;c:\programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe [24.04.2006 16:36 348848]
R2 thdudf;TOSHIBA UDF2.5 Reader File System Driver;c:\windows\system32\drivers\thdudf.sys [06.05.2008 12:42 66944]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [06.02.2005 16:24 802048]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [27.01.2005 08:37 1272000]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [27.09.2007 15:22 13824]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [27.01.2005 10:37 19928]
S2 EZUSB;Cypress GPD (ezloader.sys);c:\windows\system32\drivers\ezloader.sys [22.07.2004 17:16 17536]
S2 EZUSBDEV;Cypress GPD (ezusb.sys);c:\windows\system32\drivers\ezusb.sys [22.07.2004 17:19 12307]
S2 gupdate1c9a490a552657a;Google Update Service (gupdate1c9a490a552657a);c:\programme\Google\Update\GoogleUpdate.exe [14.03.2009 12:35 133104]
S2 USBHSB;GeneLink File Transfer Driver;c:\windows\system32\drivers\usbhsb.sys [28.03.2005 16:10 18690]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [27.01.2005 10:31 17408]
S3 gbalink;GBA Link Driver (gbalink.sys);c:\windows\system32\drivers\gbalink.sys [05.04.2005 09:56 19677]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [20.04.2006 09:20 17664]
S3 rockusb;Driver for rockusb Device;c:\windows\system32\drivers\rockusb.sys [22.03.2006 19:57 73984]
S3 se46bus;Sony Ericsson Device 070 driver (WDM);c:\windows\system32\drivers\se46bus.sys [10.01.2008 15:22 61536]
S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;c:\windows\system32\drivers\se46mdfl.sys [10.01.2008 15:22 9360]
S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;c:\windows\system32\drivers\se46mdm.sys [10.01.2008 15:22 97088]
S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\se46mgmt.sys [10.01.2008 15:23 88624]
S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);c:\windows\system32\drivers\se46nd5.sys [10.01.2008 15:23 18704]
S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;c:\windows\system32\drivers\se46obex.sys [10.01.2008 15:23 86432]
S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);c:\windows\system32\drivers\se46unic.sys [10.01.2008 15:23 90800]
S3 siusbmod;siusbmod;c:\windows\system32\drivers\siusbmod.sys [30.11.2005 18:12 27008]
S3 TDslMgrService;DSL-Manager;c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe [27.09.2007 15:22 290816]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\drivers\ulisa.sys [17.04.2003 13:19 120732]
S3 xbreader;MaxDrive XBox Driver (xbreader.sys);c:\windows\system32\drivers\xbreader.sys [02.01.2001 23:53 19677]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - uphcleanhlp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-05-06 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-14 10:35]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{98DD0781-8AD9-11D2-B0AA-00104B458FC2} - FileSign.dll
HKCU-Run-Google Update - c:\dokumente und einstellungen\ps.BÜRO\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
HKLM-Run-routcnf - c:\programme\Telekom\Eumex 504PC USB\routcnf.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-AA_SecuHDD - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.cityweb.de/cws/cws.homepage.php
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
FF - ProfilePath - c:\dokumente und einstellungen\ps.BÜRO\Anwendungsdaten\Mozilla\Firefox\Profiles\gs5hdtyd.default\
FF - plugin: c:\programme\Google\Update\1.2.145.5\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\npdrmv2.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 10:32
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe [1916] 0x860B76D0

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\TEMP\tmp1E8.tmp.f90021f0c8d2d002.tmp 39936 bytes executable
c:\windows\TEMP\tmp46.tmp.f90021f0c8d2d002.tmp 44544 bytes executable
c:\windows\system32\.f90021f0c8d2d002

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f90021f0c8d2d002]
"ImagePath"="c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1542114262-1661414840-3042734558-1006\Software\Sony Creative Software\M*e*d*i*a* *M*a*n*a*g*e*r* *f*o*r* *P*S*P*"!\2.5]
"Percents"="0 0.1163 0.2558 0.5597 0.7964 0.9077 0.9198 "
"Increment"=".004132"
"FRT"="L/GB3CwOBJFXy9XZyzabOkitXm3EOwM3JXLyB1EPSemp7ynbwox2dA=="
"PLCK"="kdotfneET10L/Ulk7vzwKpYWHBKwdOCg"
"PHSH"=""

[HKEY_LOCAL_MACHINE\software\Micro Focus]
@Denied: (C D) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(976)
c:\windows\system32\Ati2evxx.dll
c:\programme\RSA Security\RSA Authenticator Utility\CredMgr.dll
c:\programme\RSA Security\RSA Authenticator Utility\3gProp.dll
c:\programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll
c:\windows\system32\msi.dll
c:\programme\RSA Security\RSA Authenticator Utility\pkcs11.dll
c:\programme\RSA Security\RSA Authenticator Utility\authsvc.dll
c:\programme\RSA Security\RSA Authenticator Utility\pwdauthmech.dll
c:\programme\RSA Security\RSA Authenticator Utility\PwdAuthMechENU.dll
c:\programme\RSA Security\RSA Authenticator Utility\scauthmech.dll
c:\programme\RSA Security\RSA Authenticator Utility\ScAuthMechENU.dll

- - - - - - - > 'explorer.exe'(3080)
c:\windows\system32\msi.dll
c:\programme\RSA Security\RSA Authenticator Utility\FileSign.dll
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.core.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\programme\CA\eTrust Antivirus\InoRpc.exe
c:\programme\CA\eTrust Antivirus\InoRT.exe
c:\programme\CA\eTrust Antivirus\InoTask.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
c:\programme\UPHClean\uphclean.exe
c:\windows\system32\searchindexer.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-06 10:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-06 08:42

Vor Suchlauf: 2.058.993.664 Bytes frei
Nach Suchlauf: 4.314.415.104 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
367 --- E O F --- 2009-04-15 14:21
raman
Hallo Meilow,

der Rechner ist nach wie vor extremst verseucht, obwohl CF schon einiges geloescht hat. Wie gesagt, hier hilft nur noch neu aufsetzen!
Wenn du mir trotzdem noch einen gefallen tun moechtest, mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
QUELLTEXT
http://www.rokop-security.de/index.php?s=&showtopic=18591&view=findpost&p=273299
Comment:: serwvdrv.dll=Systemfile?

KILLALL::

Driver::
f90021f0c8d2d002

collect::
c:\windows\system32\stu2.exe
c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe
c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.core.dll
c:\windows\TEMP\tmp1E8.tmp.f90021f0c8d2d002.tmp
c:\windows\TEMP\tmp46.tmp.f90021f0c8d2d002.tmp

Folder::
c:\windows\system32\.f90021f0c8d2d002


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
Meilow
Hier der neue Log. Punkt 7, d.h. ein Popup erschien aber nicht

ComboFix 09-05-05.04 - ps 06.05.2009 14:26.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.430 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ps.BÜRO\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ps.BÜRO\Desktop\CFScript.txt
AV: AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)

file zipped: c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.core.dll
file zipped: c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe
file zipped: c:\windows\system32\stu2.exe
file zipped: c:\windows\TEMP\tmp1E8.tmp.f90021f0c8d2d002.tmp
file zipped: c:\windows\TEMP\tmp46.tmp.f90021f0c8d2d002.tmp
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\.f90021f0c8d2d002
c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.core.dll
c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe
c:\windows\system32\stu2.exe
c:\windows\TEMP\tmp1E8.tmp.f90021f0c8d2d002.tmp
c:\windows\TEMP\tmp46.tmp.f90021f0c8d2d002.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-06 bis 2009-05-06 ))))))))))))))))))))))))))))))
.

2009-04-30 10:56 . 2009-04-30 10:56 -------- d-sh--w c:\dokumente und einstellungen\NetworkService\IETldCache
2009-04-24 14:01 . 2009-04-24 14:01 -------- d-----w c:\windows\ie8updates
2009-04-24 13:50 . 2009-02-28 04:55 105984 -c----w c:\windows\system32\dllcache\iecompat.dll
2009-04-24 12:34 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-24 12:34 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-24 12:34 . 2009-04-24 12:34 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-24 12:34 . 2009-04-24 13:18 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-24 07:16 . 2009-04-24 07:16 -------- d-----w c:\programme\Trend Micro
2009-04-23 14:08 . 2009-04-23 14:08 -------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\T-Online
2009-04-23 14:05 . 2009-04-23 14:05 -------- d-----w C:\T-Online
2009-04-23 14:05 . 2009-04-23 14:05 -------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\ATI
2009-04-21 11:13 . 2009-04-21 11:13 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
2009-04-21 07:05 . 2009-04-21 07:05 -------- d-sh--w c:\windows\system32\config\systemprofile\IETldCache
2009-04-21 06:56 . 2009-04-24 13:58 -------- dc-h--w c:\windows\ie8
2009-04-15 06:32 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 06:32 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 06:32 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 06:32 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 06:32 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 06:32 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 06:32 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 06:32 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 06:32 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 06:32 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-06 08:32 . 2005-01-27 08:31 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-05-06 08:29 . 2005-04-27 10:08 -------- d-----w c:\programme\FlashGet
2009-04-24 14:39 . 2005-03-17 12:58 3 ----a-w c:\windows\VMAPO.DAT
2009-04-24 07:01 . 2008-06-11 14:32 -------- d-----w c:\programme\a-squared Free
2009-04-24 06:26 . 2005-01-27 03:59 93698 ----a-w c:\windows\system32\perfc007.dat
2009-04-24 06:26 . 2005-01-27 03:59 479772 ----a-w c:\windows\system32\perfh007.dat
2009-04-23 13:52 . 2005-01-27 06:46 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-21 14:19 . 2007-11-19 15:23 -------- d-----w c:\programme\Java
2009-04-16 06:59 . 2008-09-18 14:07 -------- d-----w c:\programme\Arial CD Ripper
2009-04-07 12:26 . 2005-04-21 13:36 -------- d-----w c:\programme\Project64 1.6
2009-04-07 12:23 . 2008-02-29 14:48 -------- d-----w c:\programme\Emme
2009-04-04 12:09 . 2009-04-04 12:09 -------- d-----w c:\programme\Portrait Professional Max 6
2009-04-01 13:41 . 2007-04-05 08:20 -------- d-----w c:\programme\EUBogen_Uninstall
2009-04-01 13:41 . 2007-04-05 08:20 -------- d-----w c:\programme\EUBogen
2009-04-01 13:41 . 2005-10-14 08:14 -------- d-----w c:\programme\Zurich
2009-04-01 13:03 . 2005-06-03 08:43 -------- d-----w c:\programme\Bonndata
2009-04-01 08:21 . 2009-04-01 08:21 -------- d-----w c:\programme\Zattoo
2009-03-31 12:34 . 2009-04-21 11:12 164900 ----a-w c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1031.dat
2009-03-14 10:35 . 2005-02-06 13:08 -------- d-----w c:\programme\Google
2009-03-08 02:34 . 2005-01-27 03:59 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2005-01-27 03:59 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2005-01-27 03:59 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2005-01-27 03:59 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2005-01-27 03:59 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2005-01-27 03:59 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2005-01-27 03:59 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2005-01-27 03:59 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2005-01-27 03:59 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2005-01-27 03:59 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2005-01-27 03:59 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-18 13:19 . 2009-02-18 13:19 262144 ----a-w c:\windows\system32\default_user_class.dat
2009-02-09 14:04 . 2005-01-27 03:59 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-08-04 00:50 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2005-01-27 03:59 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2005-01-27 03:59 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2005-01-27 03:59 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2005-01-27 03:59 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2005-01-27 03:59 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2005-01-27 03:59 35328 ----a-w c:\windows\system32\sc.exe
2008-07-03 06:52 . 2003-12-19 23:17 62 ----a-w c:\programme\settings.ini
2003-12-20 01:04 . 2003-12-20 00:41 1319 ----a-w c:\programme\!!! readme !!!.txt
2003-12-20 00:47 . 2003-12-19 23:17 100864 ----a-w c:\programme\GBAReleaseLister.exe
2007-08-15 15:01 . 2007-08-15 15:01 48 --sh--w c:\windows\S7A1C7215.tmp
2005-03-17 13:25 . 2005-03-17 13:25 32 --sha-w c:\windows\{6443A51A-6E13-4ABE-84D9-E0B95CAF2A94}.dat
2005-02-06 13:08 . 2005-02-06 13:08 8 --sh--r c:\windows\system32\D5D86239B1.sys
2006-05-03 10:06 . 2008-03-10 10:22 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-03-10 10:22 31232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-03-10 10:22 27648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 . 2008-03-10 10:22 151040 --sh--w c:\windows\system32\VistaUltm.dll
2005-03-17 13:25 . 2005-03-17 13:25 32 --sha-w c:\windows\system32\{F24295C5-B3AB-4929-9C9A-AE29BEA14A8B}.dat
2008-01-16 10:57 . 2008-01-16 10:32 50208 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-01-16 10:37 . 2008-01-16 10:32 1056 --sha-w c:\windows\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-05-06_08.32.52 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-06 12:33 . 2009-05-06 12:33 16384 c:\windows\temp\Perflib_Perfdata_540.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-12-09 1937408]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]
"SansaDispatch"="c:\dokumente und einstellungen\ps.BÜRO\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe" [2009-03-25 79872]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-10-18 204288]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-16 39408]
"Google Update"="c:\dokumente und einstellungen\ps.BÜRO\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2004-06-25 504080]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-02-06 180269]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 278528]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-23 136600]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"routcnf"="c:\programme\Telekom\Eumex 504PC USB\routcnf.exe" [BU]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-03-04 88209]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"Cmaudio"="cmicnfg.cpl" [BU]
"AA_SecuHDD"="" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE" [2005-11-29 847872]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2007-9-27 1085440]

c:\dokumente und einstellungen\ps.BšRO\Startmen\Programme\Autostart\
Picture Motion Browser Medien-Prfung.lnk - c:\programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-4-23 390432]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
WinCinema Manager.lnk - c:\programme\Sandisk\Common\Bin\WinCinemaMgr.exe [2008-9-16 303104]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
CAPIControl.lnk - c:\programme\Telekom\Eumex 504PC USB\Capictrl.exe [2004-4-28 278528]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\3gProp]
2006-04-24 14:38 53936 ----a-w c:\programme\RSA Security\RSA Authenticator Utility\3gProp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NotifyP11Svc]
2006-04-24 14:36 49840 ----a-w c:\programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SOMCredMgr]
2006-04-24 14:41 33456 ----a-w c:\programme\RSA Security\RSA Authenticator Utility\credmgr.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave2"= serwvdrv.dll
"wave3"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\f90021f0c8d2d002]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^ps.BÜRO^Startmenü^Programme^Autostart^Mobile Phone Manager.lnk]
path=c:\dokumente und einstellungen\ps.BÜRO\Startmenü\Programme\Autostart\Mobile Phone Manager.lnk
backup=c:\windows\pss\Mobile Phone Manager.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BlueSoleil Hid Service"=2 (0x2)
"AOL ACS"=2 (0x2)
"bgsvcgen"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\FlashFXP\\flashfxp.exe"=
"c:\\wincmd\\WINCMD32.EXE"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Sony\\Media Manager for PSP 2.5\\MediaManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JD-WinLauncher.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\AXA-BT\\COLSERV\\jre\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\AOL 9.0\\AOL.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57183:TCP"= 57183:TCP:*:Disabled:Pando P2P TCP Listening Port
"57183:UDP"= 57183:UDP:*:Disabled:Pando P2P UDP Listening Port

R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [20.11.2007 12:55 108768]
R2 AVWUpSrv;AntiVir Update;c:\programme\AVPersonal\AVWUPSRV.EXE [07.06.2005 11:34 45096]
R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\Capi20.sys [05.04.2004 08:57 966352]
R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [19.03.2003 14:36 37696]
R2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPortIO.SYS [26.08.2005 14:18 3584]
R2 RsaP11Svc;RSA Authenticator Utility 1.0 P11 Service;c:\programme\RSA Security\RSA Authenticator Utility\RsaP11Svc.exe [24.04.2006 16:36 348848]
R2 thdudf;TOSHIBA UDF2.5 Reader File System Driver;c:\windows\system32\drivers\thdudf.sys [06.05.2008 12:42 66944]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [06.02.2005 16:24 802048]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [27.01.2005 08:37 1272000]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [27.09.2007 15:22 13824]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [27.01.2005 10:37 19928]
S2 EZUSB;Cypress GPD (ezloader.sys);c:\windows\system32\drivers\ezloader.sys [22.07.2004 17:16 17536]
S2 EZUSBDEV;Cypress GPD (ezusb.sys);c:\windows\system32\drivers\ezusb.sys [22.07.2004 17:19 12307]
S2 f90021f0c8d2d002;Microsoft DDE+ server;c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe --> c:\windows\system32\.f90021f0c8d2d002\f90021f0c8d2d002.exe [?]
S2 gupdate1c9a490a552657a;Google Update Service (gupdate1c9a490a552657a);c:\programme\Google\Update\GoogleUpdate.exe [14.03.2009 12:35 133104]
S2 USBHSB;GeneLink File Transfer Driver;c:\windows\system32\drivers\usbhsb.sys [28.03.2005 16:10 18690]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [27.01.2005 10:31 17408]
S3 gbalink;GBA Link Driver (gbalink.sys);c:\windows\system32\drivers\gbalink.sys [05.04.2005 09:56 19677]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [20.04.2006 09:20 17664]
S3 rockusb;Driver for rockusb Device;c:\windows\system32\drivers\rockusb.sys [22.03.2006 19:57 73984]
S3 se46bus;Sony Ericsson Device 070 driver (WDM);c:\windows\system32\drivers\se46bus.sys [10.01.2008 15:22 61536]
S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;c:\windows\system32\drivers\se46mdfl.sys [10.01.2008 15:22 9360]
S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;c:\windows\system32\drivers\se46mdm.sys [10.01.2008 15:22 97088]
S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\se46mgmt.sys [10.01.2008 15:23 88624]
S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);c:\windows\system32\drivers\se46nd5.sys [10.01.2008 15:23 18704]
S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;c:\windows\system32\drivers\se46obex.sys [10.01.2008 15:23 86432]
S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);c:\windows\system32\drivers\se46unic.sys [10.01.2008 15:23 90800]
S3 siusbmod;siusbmod;c:\windows\system32\drivers\siusbmod.sys [30.11.2005 18:12 27008]
S3 TDslMgrService;DSL-Manager;c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe [27.09.2007 15:22 290816]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\drivers\ulisa.sys [17.04.2003 13:19 120732]
S3 xbreader;MaxDrive XBox Driver (xbreader.sys);c:\windows\system32\drivers\xbreader.sys [02.01.2001 23:53 19677]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - uphcleanhlp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-05-06 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-14 10:35]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.cityweb.de/cws/cws.homepage.php
uSearch Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
uSearch Bar = hxxp://www.google.com/ie
mDefault_Page_URL = hxxp://www.aldi.com
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
FF - ProfilePath - c:\dokumente und einstellungen\ps.BÜRO\Anwendungsdaten\Mozilla\Firefox\Profiles\gs5hdtyd.default\
FF - plugin: c:\programme\Google\Update\1.2.145.5\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\npdrmv2.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 14:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1542114262-1661414840-3042734558-1006\Software\Sony Creative Software\M*e*d*i*a* *M*a*n*a*g*e*r* *f*o*r* *P*S*P*"!\2.5]
"Percents"="0 0.1163 0.2558 0.5597 0.7964 0.9077 0.9198 "
"Increment"=".004132"
"FRT"="L/GB3CwOBJFXy9XZyzabOkitXm3EOwM3JXLyB1EPSemp7ynbwox2dA=="
"PLCK"="kdotfneET10L/Ulk7vzwKpYWHBKwdOCg"
"PHSH"=""

[HKEY_LOCAL_MACHINE\software\Micro Focus]
@Denied: (C D) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(976)
c:\windows\system32\Ati2evxx.dll
c:\programme\RSA Security\RSA Authenticator Utility\CredMgr.dll
c:\programme\RSA Security\RSA Authenticator Utility\3gProp.dll
c:\programme\RSA Security\RSA Authenticator Utility\NotifyP11Svc.dll
c:\programme\RSA Security\RSA Authenticator Utility\pkcs11.dll
c:\windows\system32\msi.dll
c:\programme\RSA Security\RSA Authenticator Utility\authsvc.dll
c:\programme\RSA Security\RSA Authenticator Utility\pwdauthmech.dll
c:\programme\RSA Security\RSA Authenticator Utility\PwdAuthMechENU.dll
c:\programme\RSA Security\RSA Authenticator Utility\scauthmech.dll
c:\programme\RSA Security\RSA Authenticator Utility\ScAuthMechENU.dll

- - - - - - - > 'explorer.exe'(2432)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msls31.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\scardsvr.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\programme\CA\eTrust Antivirus\InoRpc.exe
c:\programme\CA\eTrust Antivirus\InoRT.exe
c:\programme\CA\eTrust Antivirus\InoTask.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
c:\programme\UPHClean\uphclean.exe
c:\windows\system32\searchindexer.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-06 14:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-06 12:42
ComboFix2.txt 2009-05-06 08:42

Vor Suchlauf: 4.248.948.736 Bytes frei
Nach Suchlauf: 4.295.274.496 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
360 --- E O F --- 2009-04-15 14:21
raman
Schaue bite in den c:\Qoobox oder Qoobox\Quarantine Ordner. Dort wirst du eine Datei finden, deren Name ungefaehr so aussieht:
[4]-Submit_2009-05-06..... .zip

Dieses Archiv bitte bei http://www.bleepingcomputer.com/submit-malware.php?channel=4 hochladen..

Danke dafuer und eine kleine Nachfrage, willst du neu aufsetzen?
Meilow
Hi!

File hab ich gesendet.

Zum neu aufsetzen habe ich eigentlich keinen Bock.Hab sowas noch nie gemacht, werd aber wohl nicht drum rumkommen, oder?sad.gif
Voyager
Wenn dir wichtige Informationen schon gestohlen wurden ist es dafür sowieso schon zu spät , wichtig wäre jetzt nurnoch ob du das System auch wirklich retten konntest oder ob Beschädigungen zurückblieben die du nicht reparieren kannst.
raman
Dann haben wir aber noch einiges an Arbeit. Suche im Qoobox Ordner mal nach den user.ds Dateien und schau sie dir mit einem Testeditor(Notepad) an. Ich hoffe die Informationen dort sind noch unverschluesselt vorhanden...

Aktualisiere dein ANtivir und schaue, ob es nun noch etwas findet...
Meilow
Hi!

Die daten in user.ds sehen so aus (nur ein kleiner Auszug)

SOFTd ü ò
 ç2âÞúá)[.....]
ç2âÞúá)

Sind also wohl schon verschlüsselt.

Am WE kommt ´n Kumpel und wir ziehen dann das System neu auf
raman
Das ist besser so.................................
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2014 Invision Power Services, Inc.