Hallo! ich hatte auch das gleiche: http://www.trojaner-board.de/54731-p...usw-virus.html
-Konnte kein Taskmanger offnen
-Konnte die Festplatte nicht sehen (c)
-im start menü gabs nur Ausschalten
-Bei der Uhr Stand Virus Alert
-Ständig wurden minimierte Fenster geöffnet
-Hatte auch die "Sicherheits Warnung" (hab den ersten Satzt gegoogelt und bin hier hin gekommen)

Dort wurde einen "ComboFIX" emfpohlen!

Ich hab das Programm schon ausgefürt! ich hoffe hier wird mir geholfen!
Nachden das Programm fertig war kalpt wieder alles! Aber dort stand

Zitat:

"Wir sind noch nicht fertig"

. Ist noch was im System?

Ich brauche hilfe, da bei mir Wichtige Datein sind! wenn die gelöscht werden sind 6 Monate im ... für nix und wieder nix! ich habe zwar noch schnell ein backup gemacht, wollte aber wissen ob sich der Virus jetzt auf den USB Stick befinden könnte!

hier ist meien LOG:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-06-20.4 - David Schulte 2008-06-28 17:21:49.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\David Schulte\Desktop\ComboFix.exe
 
*WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!*
.
 
((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
 
C:\Dokumente und Einstellungen\David Schulte\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\David Schulte\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\David Schulte\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\David Schulte\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\David Schulte\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\David Schulte\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\ekaf.exe
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\dtnwxdfe.ini
C:\WINDOWS\system32\gbtrv323.dll
C:\WINDOWS\system32\hgGabxWo.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\oWxbaGgh.ini
C:\WINDOWS\system32\oWxbaGgh.ini2
C:\WINDOWS\system32\penqrsmf.ini
C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\setup.ini
 
.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-28 bis 2008-06-28  ))))))))))))))))))))))))))))))
.
 
2008-06-28 17:43 . 2008-06-28 17:43	294	---hs----	C:\WINDOWS\system32\dtnwxdfe.ini
2008-06-28 12:33 . 2008-06-28 12:33	92,032	--a------	C:\WINDOWS\system32\efdxwntd.dll
2008-06-28 00:06 . 2008-06-28 00:06	28,800	--a------	C:\WINDOWS\system32\awttqrol.dll
2008-06-28 00:06 . 2002-08-29 14:00	4,224	--a------	C:\WINDOWS\system32\beep.sys
2008-06-28 00:05 . 2008-06-27 22:46	307,200	--a------	C:\WINDOWS\gfetqaxsnvo.dll
2008-06-28 00:05 . 2008-06-27 22:46	286,720	--a------	C:\WINDOWS\pntqkflv.dll
2008-06-28 00:05 . 2008-06-27 22:46	258,048	--a------	C:\WINDOWS\qegbdmwf.dll
2008-06-28 00:05 . 2008-06-27 22:46	188,416	--a------	C:\WINDOWS\gxvpsafm.dll
2008-06-28 00:05 . 2008-06-27 22:46	81,920	--a------	C:\WINDOWS\tovafrnm.exe
2008-06-27 23:56 . 2008-06-27 23:56	<DIR>	d--------	C:\Programme\Enterbrain
2008-06-26 13:37 . 2008-06-26 13:56	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Teeworlds
2008-06-25 23:36 . 2008-06-25 23:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-06-25 19:49 . 2008-06-26 23:25	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Hamachi
2008-06-25 19:48 . 2008-06-25 19:49	<DIR>	d--------	C:\Programme\Hamachi
2008-06-25 19:48 . 2008-06-25 19:48	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-06-25 16:03 . 2007-12-17 14:43	27,648	---hs----	C:\WINDOWS\system32\Smab0.dll
2008-06-24 14:58 . 2008-06-24 15:00	<DIR>	d--------	C:\Programme\PDFCreator
2008-06-24 14:58 . 2005-10-15 12:32	196,608	--a------	C:\WINDOWS\system32\pdfcmnnt.dll
2008-06-24 14:58 . 1998-06-24 00:00	137,000	--a------	C:\WINDOWS\system32\MSMAPI32.OCX
2008-06-24 14:58 . 1998-07-06 17:55	64,512	--a------	C:\WINDOWS\system32\MSCC2DE.DLL
2008-06-24 14:58 . 1998-07-06 00:00	23,552	--a------	C:\WINDOWS\system32\MSMPIDE.DLL
2008-06-21 10:05 . 2008-06-21 10:05	<DIR>	d--------	C:\Programme\Paint.NET
2008-06-20 23:17 . 2008-06-20 23:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.thumbnails
2008-06-20 23:09 . 2008-06-20 23:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.gimp-2.4
2008-06-20 22:57 . 2008-06-22 13:30	<DIR>	d--------	C:\Programme\Drawing for Children
2008-06-18 16:45 . 2008-06-18 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Anvil Studio
2008-06-18 16:44 . 2008-06-18 16:45	<DIR>	d--------	C:\Programme\Anvil Studio
2008-06-17 23:05 . 2008-06-17 23:06	<DIR>	d--------	C:\Programme\Sixty Five Million And One BC
2008-06-17 21:05 . 2008-06-19 19:15	<DIR>	d--------	C:\Programme\Wesnoth.1.4.3
2008-06-17 16:41 . 2008-03-18 19:13	830,052	--a------	C:\WINDOWS\_detmp.1
2008-06-17 16:41 . 2001-01-23 17:36	49,152	--a------	C:\WINDOWS\_detmp.2
2008-06-16 21:58 . 2008-06-23 20:59	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\gtk-2.0
2008-06-16 21:44 . 2008-06-16 21:45	<DIR>	d--------	C:\Programme\Pidgin
2008-06-16 19:53 . 2008-06-27 19:21	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\.purple
2008-06-16 19:50 . 2008-06-18 10:07	<DIR>	d--------	C:\Programme\Aspell
2008-06-16 19:48 . 2008-06-16 19:48	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\GTK
2008-06-16 18:14 . 2008-06-16 18:14	<DIR>	d--------	C:\Programme\Opera
2008-06-14 16:41 . 2008-06-19 16:30	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-06-14 16:41 . 2008-06-14 16:41	1,409	--a------	C:\WINDOWS\QTFont.for
2008-06-11 21:12 . 2008-06-11 21:12	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Oliver Kliebisch
2008-06-11 21:09 . 2008-06-11 21:13	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.packagebuilder
2008-06-11 15:42 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-11 15:39 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 17:12 . 2008-06-10 17:12	65,536	--a------	C:\Dokumente und Einstellungen\David Schulte\DownloadManager.dll
2008-06-08 19:28 . 2008-06-08 19:28	<DIR>	d--------	C:\Programme\Yahoo!
2008-06-08 12:17 . 2008-06-08 12:21	3,429	--a------	C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-06-07 20:35 . 2008-06-07 20:35	<DIR>	d--------	C:\Programme\ASCII
2008-06-07 20:35 . 2000-07-08 17:06	87,040	--a------	C:\WINDOWS\UnGins.exe
2008-06-07 20:15 . 2008-06-08 10:53	<DIR>	d--------	C:\Programme\rpg2003
2008-06-04 19:13 . 2008-06-04 19:13	<DIR>	d--------	C:\Programme\DVDStyler
2008-06-04 19:13 . 2008-06-04 19:13	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.thumb
2008-06-04 17:06 . 2008-06-04 17:07	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Cuttermaran
2008-06-04 16:58 . 2008-06-04 21:23	<DIR>	d--------	C:\Programme\GUI for dvdauthor
2008-06-03 20:10 . 2008-06-04 21:27	<DIR>	d--------	C:\Programme\Ashampoo
2008-06-03 20:10 . 2008-06-04 16:43	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Ashampoo
2008-06-03 20:10 . 2008-06-03 20:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-06-03 20:05 . 2008-06-03 20:05	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\CDBurnerXP_Soft
2008-06-02 18:06 . 2008-06-02 18:18	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Dev-Cpp
2008-06-02 18:06 . 2008-06-02 21:30	<DIR>	d--------	C:\Dev-Cpp
2008-06-01 13:49 . 2008-06-01 13:49	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blender Foundation
2008-05-31 20:02 . 2008-05-31 20:02	78,942	--a------	C:\WINDOWS\Icon_2.ico
2008-05-31 19:51 . 2008-05-31 19:51	<DIR>	d--------	C:\WINDOWS\system32\VIRepair
2008-05-31 19:25 . 2008-05-31 19:28	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\ViStart
2008-05-31 19:17 . 2008-06-07 23:28	<DIR>	d--------	C:\Programme\WinFlip
2008-05-31 19:17 . 2008-05-31 19:17	<DIR>	d--------	C:\Programme\TrueTransparency
2008-05-31 19:17 . 2008-05-31 19:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Styler
2008-05-31 19:16 . 2008-05-31 19:51	<DIR>	d--------	C:\Programme\Styler
2008-05-31 19:11 . 2008-05-31 20:02	<DIR>	d--------	C:\WINDOWS\system32\VITrans
2008-05-31 19:11 . 2008-05-31 19:11	78,942	--a------	C:\WINDOWS\Icon_1.ico
2008-05-31 19:11 . 2006-12-03 17:15	69,632	--a------	C:\WINDOWS\system32\moveex.exe
2008-05-31 19:11 . 2006-12-03 17:15	19,968	--a------	C:\WINDOWS\system32\reico.exe
2008-05-31 19:11 . 2006-12-03 17:14	8,636	--a------	C:\WINDOWS\system32\modifype.exe
2008-05-31 18:49 . 2004-08-04 09:57	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-05-31 17:33 . 2008-05-31 17:33	<DIR>	d--------	C:\WINDOWS\system32\de
2008-05-31 17:20 . 2008-04-14 00:10	10,240	---------	C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-05-31 17:17 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\_0_05972_.tmp
 
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 15:44	22,112,288	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-28 15:36	261,152	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-28 15:14	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Skype
2008-06-28 14:01	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\skypePM
2008-06-27 22:14	467,456	----a-w	C:\WINDOWS\Internet Logs\xDB42.tmp
2008-06-27 20:59	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\FileZilla
2008-06-25 22:15	504,320	----a-w	C:\WINDOWS\Internet Logs\xDB41.tmp
2008-06-25 14:07	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-06-25 13:35	---------	d-----w	C:\Programme\TP
2008-06-24 16:45	---------	d-----w	C:\Programme\FileZilla FTP Client
2008-06-24 14:08	---------	d-----w	C:\Programme\HomepageMaker2
2008-06-24 14:07	---------	d-----w	C:\Programme\VideoLAN
2008-06-21 15:22	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YoYoGames
2008-06-17 15:48	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-17 15:48	---------	d-----w	C:\Programme\Tenda
2008-06-16 20:00	235,008	----a-w	C:\WINDOWS\Internet Logs\xDB40.tmp
2008-06-16 11:09	---------	d-----w	C:\Programme\myvillageonline
2008-06-14 22:38	691,200	----a-w	C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-06-14 22:38	19,224,576	----a-w	C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-06-14 17:32	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-09 19:54	18,183,680	----a-w	C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-06-09 19:54	1,411,072	----a-w	C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-06-08 10:21	70,662	----a-w	C:\WINDOWS\BricoPackUninst.cmd
2008-06-08 10:21	219,136	----a-w	C:\WINDOWS\system32\uxtheme.dll
2008-06-07 21:32	---------	d-----w	C:\Programme\CCleaner
2008-06-07 12:43	55,393	----a-w	C:\WINDOWS\Internet Logs\vsmon_2nd_2008_06_07_14_37_12_small.dmp.zip
2008-06-05 15:22	---------	d-----w	C:\Programme\GameSpy Arcade
2008-06-04 19:43	---------	d-----w	C:\Programme\Ubisoft
2008-06-04 19:43	---------	d-----w	C:\Programme\GameSpy
2008-06-04 18:51	48,520	----a-w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-31 16:45	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-05-31 14:50	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-05-31 14:11	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\ICQ
2008-05-24 15:10	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\.gjava2lite
2008-05-23 21:01	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\TeamViewer
2008-05-23 15:09	---------	d-----w	C:\Programme\Microsoft.NET
2008-05-23 15:08	---------	d-----w	C:\Programme\Microsoft SQL Server
2008-05-22 18:43	---------	d-----w	C:\Programme\NCH Swift Sound
2008-05-22 18:42	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\NCH Swift Sound
2008-05-22 18:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-05-21 17:14	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Itsth
2008-05-20 13:19	---------	d-----w	C:\Programme\Kodak
2008-05-20 13:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-05-20 13:10	---------	d-----w	C:\Programme\FeedReader30
2008-05-20 13:10	---------	d-----w	C:\Programme\EA GAMES
2008-05-20 13:10	---------	d-----w	C:\Programme\Atari
2008-05-19 18:58	240,128	----a-w	C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-05-19 18:58	15,988,224	----a-w	C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-05-17 19:42	---------	d-----w	C:\Programme\DivX
2008-05-14 19:45	313,856	----a-w	C:\WINDOWS\Internet Logs\xDB38.tmp
2008-05-14 19:45	15,660,032	----a-w	C:\WINDOWS\Internet Logs\xDB39.tmp
2008-05-14 19:27	---------	d-----w	C:\Programme\Conduit
2008-05-14 19:19	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Feedreader
2008-05-13 01:53	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-05-13 01:53	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 01:51	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-05-13 01:51	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-05-13 01:49	161,096	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 01:49	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-11 17:47	---------	d-----w	C:\Programme\Team17 Software Ltd
2008-05-11 14:27	15,570,432	----a-w	C:\WINDOWS\Internet Logs\xDB37.tmp
2008-05-09 21:26	627,712	----a-w	C:\WINDOWS\Internet Logs\xDB35.tmp
2008-05-09 21:26	15,292,928	----a-w	C:\WINDOWS\Internet Logs\xDB36.tmp
2008-05-08 14:02	203,136	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10	1,293,824	----a-w	C:\WINDOWS\system32\quartz.dll
2008-05-04 16:38	188,416	----a-w	C:\WINDOWS\Internet Logs\xDB33.tmp
2008-05-04 16:38	14,322,176	----a-w	C:\WINDOWS\Internet Logs\xDB34.tmp
2008-05-03 22:01	---------	d-----w	C:\Programme\Google
2008-05-02 21:59	148,480	----a-w	C:\WINDOWS\Internet Logs\xDB31.tmp
2008-05-02 21:59	14,070,784	----a-w	C:\WINDOWS\Internet Logs\xDB32.tmp
2008-05-02 14:51	---------	d-----w	C:\Programme\No-IP
2008-05-01 21:18	467,968	----a-w	C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-05-01 21:18	13,851,136	----a-w	C:\WINDOWS\Internet Logs\xDB30.tmp
2008-04-24 19:54	41,472	----a-w	C:\WINDOWS\Internet Logs\xDB2D.tmp
2008-04-24 19:54	13,192,704	----a-w	C:\WINDOWS\Internet Logs\xDB2E.tmp
2008-04-23 19:44	90,624	----a-w	C:\WINDOWS\Internet Logs\xDB2B.tmp
2008-04-23 19:44	13,177,344	----a-w	C:\WINDOWS\Internet Logs\xDB2C.tmp
2008-04-23 04:16	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-04-22 16:03	73,216	----a-w	C:\WINDOWS\cadkasdeinst01.exe
2008-04-22 15:18	499,712	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-04-22 15:18	348,160	----a-w	C:\WINDOWS\system32\msvcr71.dll
2008-04-21 19:08	199,168	----a-w	C:\WINDOWS\Internet Logs\xDB2A.tmp
2008-04-17 22:23	70,144	----a-w	C:\WINDOWS\Internet Logs\xDB28.tmp
2008-04-17 22:23	12,621,312	----a-w	C:\WINDOWS\Internet Logs\xDB29.tmp
2008-04-15 19:22	93,184	----a-w	C:\WINDOWS\Internet Logs\xDB26.tmp
2008-04-15 19:22	12,595,200	----a-w	C:\WINDOWS\Internet Logs\xDB27.tmp
2008-04-14 06:06	1,804	----a-w	C:\WINDOWS\system32\dcache.bin
2008-04-14 05:55	333,312	----a-w	C:\WINDOWS\system32\netsetup.exe
2008-04-14 05:52	99,840	----a-w	C:\WINDOWS\system32\loadperf.dll
2008-04-14 05:51	762,368	----a-w	C:\WINDOWS\system32\WINNTBBU.DLL
2008-04-14 05:51	731,648	----a-w	C:\WINDOWS\system32\ntdll.dll
2008-04-14 05:51	57,375	----a-w	C:\WINDOWS\system32\odbcji32.dll
2008-04-14 05:51	5,632	----a-w	C:\WINDOWS\system32\wmi.dll
2008-04-14 05:51	4,126	----a-w	C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 05:51	24,064	----a-w	C:\WINDOWS\system32\pidgen.dll
2008-04-14 05:30	2,026,496	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 05:29	4,096	----a-w	C:\WINDOWS\system32\dsprpres.dll
2008-04-14 05:29	2,147,840	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 05:27	93,184	----a-w	C:\WINDOWS\system32\msxml6r.dll
2008-04-14 05:26	81,408	------w	C:\WINDOWS\system32\msshavmsg.dll
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
.
 
------- Sigcheck -------
 
2008-04-14 07:52  979456  bb8e0ae6833a774f4792cb8892ca92e6	C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f	C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 07:52  979456  bb8e0ae6833a774f4792cb8892ca92e6	C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\backup\explorer.exe
2008-04-14 07:52  1036800  418045a93cd87a352098ab7dabe1b53e	C:\WINDOWS\system32\VITrans\explorer.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7FC6B132-EA18-4D69-86E0-423E7B940BDC}]
2008-06-28 00:06	28800	--a------	C:\WINDOWS\system32\awttqrol.dll
 
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9EBD6815-1579-4593-8020-8485B80243FB}]
2008-06-27 22:46	307200	--a------	C:\WINDOWS\gfetqaxsnvo.dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5EFBB043-CFEC-4A57-BFE7-38FDC518108F}"= "C:\WINDOWS\gxvpsafm.dll" [2008-06-27 22:46 188416]
 
[HKEY_CLASSES_ROOT\clsid\{5efbb043-cfec-4a57-bfe7-38fdc518108f}]
[HKEY_CLASSES_ROOT\gxvpsafm.1]
[HKEY_CLASSES_ROOT\TypeLib\{06024E5D-2C27-49D3-B9CC-B496A55599D8}]
[HKEY_CLASSES_ROOT\gxvpsafm]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 20:23 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-11 20:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-22 17:18 185896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"d4176a99"="C:\WINDOWS\system32\efdxwntd.dll" [2008-06-28 12:33 92032]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
 
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{7FC6B132-EA18-4D69-86E0-423E7B940BDC}"= C:\WINDOWS\system32\awttqrol.dll [2008-06-28 00:06 28800]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {295103A7-7FDF-4DC3-BAAF-4EF8D1ED5E50} - C:\WINDOWS\qegbdmwf.dll [2008-06-27 22:46 258048]
"pntqkflv"= {274A3B66-FA0A-4236-A4B5-58154229E257} - C:\WINDOWS\pntqkflv.dll [2008-06-27 22:46 286720]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awttqrol]
awttqrol.dll 2008-06-28 00:06 28800 C:\WINDOWS\system32\awttqrol.dll
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"vidc.yv12"= yv12vfw.dll
"VIDC.IV41"= ir41_32.dll
 
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Dokumente und Einstellungen\\David Schulte\\Eigene Dateien\\DVD\\USB-Stick\\GameMaker-Spiele\\Game-Box\\Maumau.exe"=
"C:\\Dokumente und Einstellungen\\David Schulte\\Eigene Dateien\\DVD\\USB-Stick\\GameMaker-Spiele\\Bom-Mplay\\bom-Mplay-3D.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 20:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 20:23]
S3 DCamUSBSTK013;STK013 Camera;C:\WINDOWS\system32\DRIVERS\STK013W2.sys [2004-08-04 18:19]
S3 MRVW225;Tenda TWL541U Wireless LAN Dirver for Windows XP;C:\WINDOWS\system32\DRIVERS\MRVW225.sys [2005-12-21 11:44]
 
.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 15:34:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
 
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 17:40:47
Windows 5.1.2600 Service Pack 3 NTFS
 
Scanne versteckte Prozesse...
 
Scanne versteckte Autostart Eintr„ge...
 
Scanne versteckte Dateien...
 
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
 
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
 
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\awttqrol.dll
 
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\efdxwntd.dll
-> C:\WINDOWS\qegbdmwf.dll
-> C:\WINDOWS\pntqkflv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\Tenda\TWL541C(P)\Mrv8000x.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 17:58:01 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-28 15:57:37
 
               8 Verzeichnis(se),  7,421,837,312 Bytes frei
              10 Verzeichnis(se),  7,421,370,368 Bytes frei
         

Ich entschuldige mich für den Falschen Post!

Hallo DavidXXL und





Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\Internet Logs\xDB42.tmp
C:\WINDOWS\Internet Logs\xDB41.tmp

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/54939-virus-uhr-und-falsche-sicherheits-warnung.html#post350092

Collect::
C:\WINDOWS\system32\dtnwxdfe.ini
C:\WINDOWS\system32\efdxwntd.dll
C:\WINDOWS\system32\awttqrol.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\gfetqaxsnvo.dll
C:\WINDOWS\pntqkflv.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\tovafrnm.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7FC6B132-EA18-4D69-86E0-423E7B940BDC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9EBD6815-1579-4593-8020-8485B80243FB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5EFBB043-CFEC-4A57-BFE7-38FDC518108F}"=-
[-HKEY_CLASSES_ROOT\clsid\{5efbb043-cfec-4a57-bfe7-38fdc518108f}]
[-HKEY_CLASSES_ROOT\gxvpsafm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{06024E5D-2C27-49D3-B9CC-B496A55599D8}]
[-HKEY_CLASSES_ROOT\gxvpsafm]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"d4176a99"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{7FC6B132-EA18-4D69-86E0-423E7B940BDC}"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionShellServiceObjectDelayLoad]
"qegbdmwf"=-
"pntqkflv"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversionwinlogon\notify\awttqrol]
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

ok die Datei C:\WINDOWS\Internet Logs\xDB41.tmp sagt:

Code: Alles auswählenAufklappen

ATTFilter

Datei xDB41.tmp empfangen 2008.06.28 19:08:53 (CET)
Status:   Beendet 
Ergebnis: 0/33 (0%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.6.27.1	2008.06.27	-
AntiVir	7.8.0.59	2008.06.28	-
Authentium	5.1.0.4	2008.06.27	-
Avast	4.8.1195.0	2008.06.28	-
AVG	7.5.0.516	2008.06.28	-
BitDefender	7.2	2008.06.28	-
CAT-QuickHeal	9.50	2008.06.28	-
ClamAV	0.93.1	2008.06.28	-
DrWeb	4.44.0.09170	2008.06.28	-
eSafe	7.0.17.0	2008.06.26	-
eTrust-Vet	31.6.5911	2008.06.27	-
Ewido	4.0	2008.06.27	-
F-Prot	4.4.4.56	2008.06.27	-
F-Secure	7.60.13501.0	2008.06.26	-
Fortinet	3.14.0.0	2008.06.28	-
GData	2.0.7306.1023	2008.06.28	-
Ikarus	T3.1.1.26.0	2008.06.28	-
Kaspersky	7.0.0.125	2008.06.28	-
McAfee	5327	2008.06.27	-
Microsoft	1.3704	2008.06.28	-
NOD32v2	3224	2008.06.27	-
Norman	5.80.02	2008.06.27	-
Panda	9.0.0.4	2008.06.28	-
Prevx1	V2	2008.06.28	-
Rising	20.50.52.00	2008.06.28	-
Sophos	4.30.0	2008.06.28	-
Sunbelt	3.0.1176.1	2008.06.26	-
Symantec	10	2008.06.28	-
TheHacker	6.2.96.362	2008.06.27	-
TrendMicro	8.700.0.1004	2008.06.27	-
VBA32	3.12.6.8	2008.06.28	-
VirusBuster	4.5.11.0	2008.06.23	-
Webwasher-Gateway	6.6.2	2008.06.28	-
weitere Informationen
File size: 504320 bytes
MD5...: d26bf339bc633908722dd64d151782a7
SHA1..: e41729de56d6faddef60ccea2830c2b59ade484c
SHA256: a77d86153d11301e17304462f913917b6af65bbcdfdfdc5b93fbd59815ca73d8
SHA512: 95b44872d17357d2ec3077a9b45bdd9ee0048083734164be75b17553457dabdc
4efd1c13943928974459b13c6dfef23a8f3a5c14868ea9bb3d3971ee37f551ee
PEiD..: -
PEInfo: -
         

C:\WINDOWS\Internet Logs\xDB42.tmp:

Code: Alles auswählenAufklappen

ATTFilter

Datei xDB42.tmp empfangen 2008.06.28 19:06:42 (CET)
Status: Beendet 
Ergebnis: 0/33 (0.00%)
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.6.27.1	2008.06.27	-
AntiVir	7.8.0.59	2008.06.28	-
Authentium	5.1.0.4	2008.06.27	-
Avast	4.8.1195.0	2008.06.28	-
AVG	7.5.0.516	2008.06.28	-
BitDefender	7.2	2008.06.28	-
CAT-QuickHeal	9.50	2008.06.28	-
ClamAV	0.93.1	2008.06.28	-
DrWeb	4.44.0.09170	2008.06.28	-
eSafe	7.0.17.0	2008.06.26	-
eTrust-Vet	31.6.5911	2008.06.27	-
Ewido	4.0	2008.06.27	-
F-Prot	4.4.4.56	2008.06.27	-
F-Secure	7.60.13501.0	2008.06.26	-
Fortinet	3.14.0.0	2008.06.28	-
GData	2.0.7306.1023	2008.06.28	-
Ikarus	T3.1.1.26.0	2008.06.28	-
Kaspersky	7.0.0.125	2008.06.28	-
McAfee	5327	2008.06.27	-
Microsoft	1.3704	2008.06.28	-
NOD32v2	3224	2008.06.27	-
Norman	5.80.02	2008.06.27	-
Panda	9.0.0.4	2008.06.28	-
Prevx1	V2	2008.06.28	-
Rising	20.50.52.00	2008.06.28	-
Sophos	4.30.0	2008.06.28	-
Sunbelt	3.0.1176.1	2008.06.26	-
Symantec	10	2008.06.28	-
TheHacker	6.2.96.362	2008.06.27	-
TrendMicro	8.700.0.1004	2008.06.27	-
VBA32	3.12.6.8	2008.06.28	-
VirusBuster	4.5.11.0	2008.06.23	-
Webwasher-Gateway	6.6.2	2008.06.28	-
weitere Informationen
File size: 467456 bytes
MD5...: 6a4e1698403b5601deb79af21c97acd6
SHA1..: b84091f6dbe383a08ad414d3343de09e9294cde6
SHA256: 4e037042a51222a1aa21183cf827a7b0da9967f903b21e1b1d65c6742ad3bbaa
SHA512: a43bc903767a517c0f4b0722bbb3f6948c286414b607b253e84f3a86da5bac16
465b629c7cac6793f6dd46853e5116a048558857ce4514a18e7d3f953e7321e9
PEiD..: -
PEInfo: -
         

Jetzt mach ich noch "Scripten mit Combofix"!

Mal ne Frage! Wenn ich die datei damit offne startet Das Programm wie vorher!
Muss dort "http://www.trojaner-board.de/54939-virus-uhr-und-falsche-sicherheits-warnung.html#post350092" stehen??

Zitat:

Zitat von DavidXXL

Jetzt mach ich noch "Scripten mit Combofix"!

Mal ne Frage! Wenn ich die datei damit offne startet Das Programm wie vorher!
Muss dort "http://www.trojaner-board.de/54939-virus-uhr-und-falsche-sicherheits-warnung.html#post350092" stehen??

Ich verstehe gerade nicht was du meinst?!

Der Link muss mit enthalten sein.

Ich dachte die Meldung kommt sofort, weil ich wieder nur die sicherheits Meldung (1 von 100 Pc schafts net) kamm! ich lass es jetzt einfach mal laufen.

Das Programm macht das gleiche wie beim ersten mal ohne die Datei ist das normal??

Was steht denn in dem "neuen" Report?
(c:\combofix.txt)

Die Datei ist net im C:\ ordner aber dafür ist die ZIP datei aufm desktop! Aber es kamm kein Link! wo soll ich die hoch laden?

UPPS! er lädt noch sorry^^

ALLES VERGESSEN! Es ist so wie [GC]Sunny gesagt hat!
Hier ist die Datei:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-06-20.4 - David Schulte 2008-06-28 19:26:36.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.404 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David Schulte\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\David Schulte\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\gfetqaxsnvo.dll
C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\pntqkflv.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\system32\awttqrol.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\dtnwxdfe.ini
C:\WINDOWS\system32\efdxwntd.dll
C:\WINDOWS\system32\IPopAJlm.ini
C:\WINDOWS\system32\IPopAJlm.ini2
C:\WINDOWS\system32\jrnsvjha.ini
C:\WINDOWS\system32\mlJApoPI.dll
C:\WINDOWS\tovafrnm.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-28 bis 2008-06-28  ))))))))))))))))))))))))))))))
.

2008-06-28 18:04 . 2008-06-28 18:04	92,032	--a------	C:\WINDOWS\system32\ahjvsnrj.dll
2008-06-27 23:56 . 2008-06-27 23:56	<DIR>	d--------	C:\Programme\Enterbrain
2008-06-26 13:37 . 2008-06-26 13:56	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Teeworlds
2008-06-25 23:36 . 2008-06-25 23:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-06-25 19:49 . 2008-06-26 23:25	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Hamachi
2008-06-25 19:48 . 2008-06-25 19:49	<DIR>	d--------	C:\Programme\Hamachi
2008-06-25 19:48 . 2008-06-25 19:48	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-06-25 16:03 . 2007-12-17 14:43	27,648	---hs----	C:\WINDOWS\system32\Smab0.dll
2008-06-24 14:58 . 2008-06-24 15:00	<DIR>	d--------	C:\Programme\PDFCreator
2008-06-24 14:58 . 2005-10-15 12:32	196,608	--a------	C:\WINDOWS\system32\pdfcmnnt.dll
2008-06-24 14:58 . 1998-06-24 00:00	137,000	--a------	C:\WINDOWS\system32\MSMAPI32.OCX
2008-06-24 14:58 . 1998-07-06 17:55	64,512	--a------	C:\WINDOWS\system32\MSCC2DE.DLL
2008-06-24 14:58 . 1998-07-06 00:00	23,552	--a------	C:\WINDOWS\system32\MSMPIDE.DLL
2008-06-21 10:05 . 2008-06-21 10:05	<DIR>	d--------	C:\Programme\Paint.NET
2008-06-20 23:17 . 2008-06-20 23:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.thumbnails
2008-06-20 23:09 . 2008-06-20 23:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.gimp-2.4
2008-06-20 22:57 . 2008-06-22 13:30	<DIR>	d--------	C:\Programme\Drawing for Children
2008-06-18 16:45 . 2008-06-18 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Anvil Studio
2008-06-18 16:44 . 2008-06-18 16:45	<DIR>	d--------	C:\Programme\Anvil Studio
2008-06-17 23:05 . 2008-06-17 23:06	<DIR>	d--------	C:\Programme\Sixty Five Million And One BC
2008-06-17 21:05 . 2008-06-19 19:15	<DIR>	d--------	C:\Programme\Wesnoth.1.4.3
2008-06-17 16:41 . 2008-03-18 19:13	830,052	--a------	C:\WINDOWS\_detmp.1
2008-06-17 16:41 . 2001-01-23 17:36	49,152	--a------	C:\WINDOWS\_detmp.2
2008-06-16 21:58 . 2008-06-23 20:59	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\gtk-2.0
2008-06-16 21:44 . 2008-06-16 21:45	<DIR>	d--------	C:\Programme\Pidgin
2008-06-16 19:53 . 2008-06-27 19:21	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\.purple
2008-06-16 19:50 . 2008-06-18 10:07	<DIR>	d--------	C:\Programme\Aspell
2008-06-16 19:48 . 2008-06-16 19:48	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\GTK
2008-06-16 18:14 . 2008-06-16 18:14	<DIR>	d--------	C:\Programme\Opera
2008-06-14 16:41 . 2008-06-19 16:30	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-06-14 16:41 . 2008-06-14 16:41	1,409	--a------	C:\WINDOWS\QTFont.for
2008-06-11 21:12 . 2008-06-11 21:12	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Oliver Kliebisch
2008-06-11 21:09 . 2008-06-11 21:13	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.packagebuilder
2008-06-11 15:42 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-11 15:39 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 17:12 . 2008-06-10 17:12	65,536	--a------	C:\Dokumente und Einstellungen\David Schulte\DownloadManager.dll
2008-06-08 19:28 . 2008-06-08 19:28	<DIR>	d--------	C:\Programme\Yahoo!
2008-06-08 12:17 . 2008-06-08 12:21	3,429	--a------	C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-06-07 20:35 . 2008-06-07 20:35	<DIR>	d--------	C:\Programme\ASCII
2008-06-07 20:35 . 2000-07-08 17:06	87,040	--a------	C:\WINDOWS\UnGins.exe
2008-06-07 20:15 . 2008-06-08 10:53	<DIR>	d--------	C:\Programme\rpg2003
2008-06-04 19:13 . 2008-06-04 19:13	<DIR>	d--------	C:\Programme\DVDStyler
2008-06-04 19:13 . 2008-06-04 19:13	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.thumb
2008-06-04 17:06 . 2008-06-04 17:07	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Cuttermaran
2008-06-04 16:58 . 2008-06-04 21:23	<DIR>	d--------	C:\Programme\GUI for dvdauthor
2008-06-03 20:10 . 2008-06-04 21:27	<DIR>	d--------	C:\Programme\Ashampoo
2008-06-03 20:10 . 2008-06-04 16:43	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Ashampoo
2008-06-03 20:10 . 2008-06-03 20:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-06-03 20:05 . 2008-06-03 20:05	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\CDBurnerXP_Soft
2008-06-02 18:06 . 2008-06-02 18:18	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Dev-Cpp
2008-06-02 18:06 . 2008-06-02 21:30	<DIR>	d--------	C:\Dev-Cpp
2008-06-01 13:49 . 2008-06-01 13:49	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blender Foundation
2008-05-31 20:02 . 2008-05-31 20:02	78,942	--a------	C:\WINDOWS\Icon_2.ico
2008-05-31 19:51 . 2008-05-31 19:51	<DIR>	d--------	C:\WINDOWS\system32\VIRepair
2008-05-31 19:25 . 2008-05-31 19:28	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\ViStart
2008-05-31 19:17 . 2008-06-07 23:28	<DIR>	d--------	C:\Programme\WinFlip
2008-05-31 19:17 . 2008-05-31 19:17	<DIR>	d--------	C:\Programme\TrueTransparency
2008-05-31 19:17 . 2008-05-31 19:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Styler
2008-05-31 19:16 . 2008-05-31 19:51	<DIR>	d--------	C:\Programme\Styler
2008-05-31 19:11 . 2008-05-31 20:02	<DIR>	d--------	C:\WINDOWS\system32\VITrans
2008-05-31 19:11 . 2008-05-31 19:11	78,942	--a------	C:\WINDOWS\Icon_1.ico
2008-05-31 19:11 . 2006-12-03 17:15	69,632	--a------	C:\WINDOWS\system32\moveex.exe
2008-05-31 19:11 . 2006-12-03 17:15	19,968	--a------	C:\WINDOWS\system32\reico.exe
2008-05-31 19:11 . 2006-12-03 17:14	8,636	--a------	C:\WINDOWS\system32\modifype.exe
2008-05-31 18:49 . 2004-08-04 09:57	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-05-31 17:33 . 2008-05-31 17:33	<DIR>	d--------	C:\WINDOWS\system32\de
2008-05-31 17:20 . 2008-04-14 00:10	10,240	---------	C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-05-31 17:17 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\005972_.tmp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 17:42	22,204,448	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-28 17:41	262,280	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-28 15:14	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Skype
2008-06-28 14:01	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\skypePM
2008-06-27 20:59	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\FileZilla
2008-06-25 14:07	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-06-25 13:35	---------	d-----w	C:\Programme\TP
2008-06-24 16:45	---------	d-----w	C:\Programme\FileZilla FTP Client
2008-06-24 14:08	---------	d-----w	C:\Programme\HomepageMaker2
2008-06-24 14:07	---------	d-----w	C:\Programme\VideoLAN
2008-06-21 15:22	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YoYoGames
2008-06-17 15:48	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-17 15:48	---------	d-----w	C:\Programme\Tenda
2008-06-16 11:09	---------	d-----w	C:\Programme\myvillageonline
2008-06-14 17:32	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-08 10:21	70,662	----a-w	C:\WINDOWS\BricoPackUninst.cmd
2008-06-07 21:32	---------	d-----w	C:\Programme\CCleaner
2008-06-05 15:22	---------	d-----w	C:\Programme\GameSpy Arcade
2008-06-04 19:43	---------	d-----w	C:\Programme\Ubisoft
2008-06-04 19:43	---------	d-----w	C:\Programme\GameSpy
2008-06-04 18:51	48,520	----a-w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-31 16:45	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-05-31 14:50	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-05-31 14:11	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\ICQ
2008-05-24 15:10	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\.gjava2lite
2008-05-23 21:01	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\TeamViewer
2008-05-23 15:09	---------	d-----w	C:\Programme\Microsoft.NET
2008-05-23 15:08	---------	d-----w	C:\Programme\Microsoft SQL Server
2008-05-22 18:43	---------	d-----w	C:\Programme\NCH Swift Sound
2008-05-22 18:42	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\NCH Swift Sound
2008-05-22 18:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-05-21 17:14	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Itsth
2008-05-20 13:19	---------	d-----w	C:\Programme\Kodak
2008-05-20 13:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-05-20 13:10	---------	d-----w	C:\Programme\FeedReader30
2008-05-20 13:10	---------	d-----w	C:\Programme\EA GAMES
2008-05-20 13:10	---------	d-----w	C:\Programme\Atari
2008-05-17 19:42	---------	d-----w	C:\Programme\DivX
2008-05-14 19:27	---------	d-----w	C:\Programme\Conduit
2008-05-14 19:19	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Feedreader
2008-05-11 17:47	---------	d-----w	C:\Programme\Team17 Software Ltd
2008-05-08 14:02	203,136	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-03 22:01	---------	d-----w	C:\Programme\Google
2008-05-02 14:51	---------	d-----w	C:\Programme\No-IP
2008-04-22 16:03	73,216	----a-w	C:\WINDOWS\cadkasdeinst01.exe
2008-04-14 05:53	32,866	------w	C:\WINDOWS\slrundll.exe
2008-04-14 05:53	288,768	----a-w	C:\WINDOWS\winhlp32.exe
2008-04-14 05:53	231,424	----a-w	C:\WINDOWS\regedit.exe
2008-04-14 05:52	979,456	----a-w	C:\WINDOWS\explorer.exe
2008-04-14 05:52	50,688	----a-w	C:\WINDOWS\twain_32.dll
2008-04-14 05:52	156,160	----a-w	C:\WINDOWS\notepad.exe
2008-04-14 05:52	10,752	----a-w	C:\WINDOWS\hh.exe
2008-04-12 18:37	74,752	----a-w	C:\WINDOWS\ST6UNST.EXE
2008-04-12 14:02	737,280	----a-w	C:\WINDOWS\iun6002.exe
2008-03-22 22:46	43,520	----a-w	C:\Dokumente und Einstellungen\David Schulte\39dll.dll
2008-02-26 20:32	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2003-08-02 09:54	879,616	----a-w	C:\Dokumente und Einstellungen\David Schulte\XVI32.exe
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2008-04-14 07:52  979456  bb8e0ae6833a774f4792cb8892ca92e6	C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f	C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 07:52  979456  bb8e0ae6833a774f4792cb8892ca92e6	C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\backup\explorer.exe
2008-04-14 07:52  1036800  418045a93cd87a352098ab7dabe1b53e	C:\WINDOWS\system32\VITrans\explorer.exe
.
(((((((((((((((((((((((((((((   snapshot@2008-06-28_17.55.47.79   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 15:37:07	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-28 17:42:35	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 20:23 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-11 20:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-22 17:18 185896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {295103A7-7FDF-4DC3-BAAF-4EF8D1ED5E50} - C:\WINDOWS\qegbdmwf.dll [ ]
"pntqkflv"= {274A3B66-FA0A-4236-A4B5-58154229E257} - C:\WINDOWS\pntqkflv.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awttqrol]
awttqrol.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"vidc.yv12"= yv12vfw.dll
"VIDC.IV41"= ir41_32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Dokumente und Einstellungen\\David Schulte\\Eigene Dateien\\DVD\\USB-Stick\\GameMaker-Spiele\\Game-Box\\Maumau.exe"=
"C:\\Dokumente und Einstellungen\\David Schulte\\Eigene Dateien\\DVD\\USB-Stick\\GameMaker-Spiele\\Bom-Mplay\\bom-Mplay-3D.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 20:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 20:23]
S3 DCamUSBSTK013;STK013 Camera;C:\WINDOWS\system32\DRIVERS\STK013W2.sys [2004-08-04 18:19]
S3 MRVW225;Tenda TWL541U Wireless LAN Dirver for Windows XP;C:\WINDOWS\system32\DRIVERS\MRVW225.sys [2005-12-21 11:44]

.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 15:34:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 19:44:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\Dokumente und Einstellungen\David Schulte\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr010GA 829 bytes
C:\Dokumente und Einstellungen\David Schulte\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr010GU 2238 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\Tenda\TWL541C(P)\Mrv8000x.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Opera\opera.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 20:03:18 - machine was rebooted [David Schulte]
ComboFix-quarantined-files.txt  2008-06-28 18:03:10
ComboFix2.txt  2008-06-28 15:58:07

               8 Verzeichnis(se),  7,394,533,376 Bytes frei
              10 Verzeichnis(se),  7,385,841,664 Bytes frei

261	--- E O F ---	2008-06-19 17:16:16
         

Das zip.file auf deinem Desktop solltest du hier mal hochladen:


Trojaner-Board Upload Channel

Zitat:

Datei: [4]-Submit_2008-06-28@19.24.zip empfangen

Vorgang erfolgreich abgeschlossen.

So ist das jetzt alles? Ist mein System CLEAN?

noch nicht ganz, es sind noch neue Dateien nachgeladen:


Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

FILE::
C:\WINDOWS\system32\wmpns.dll
C:\WINDOWS\system32\ahjvsnrj.dll

REGISTRY::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversionwinlogon\notify\awttqrol]
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Gmer scannen lassen

* Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)
* Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.

So hier die neue Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-06-20.4 - David Schulte 2008-06-28 21:17:00.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.625 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David Schulte\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\David Schulte\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\ahjvsnrj.dll
C:\WINDOWS\system32\wmpns.dll
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ahjvsnrj.dll
C:\WINDOWS\system32\wmpns.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-28 bis 2008-06-28  ))))))))))))))))))))))))))))))
.

2008-06-27 23:56 . 2008-06-27 23:56	<DIR>	d--------	C:\Programme\Enterbrain
2008-06-26 13:37 . 2008-06-26 13:56	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Teeworlds
2008-06-25 23:36 . 2008-06-25 23:36	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-06-25 19:49 . 2008-06-26 23:25	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Hamachi
2008-06-25 19:48 . 2008-06-25 19:49	<DIR>	d--------	C:\Programme\Hamachi
2008-06-25 19:48 . 2008-06-25 19:48	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-06-25 16:03 . 2007-12-17 14:43	27,648	---hs----	C:\WINDOWS\system32\Smab0.dll
2008-06-24 14:58 . 2008-06-24 15:00	<DIR>	d--------	C:\Programme\PDFCreator
2008-06-24 14:58 . 2005-10-15 12:32	196,608	--a------	C:\WINDOWS\system32\pdfcmnnt.dll
2008-06-24 14:58 . 1998-06-24 00:00	137,000	--a------	C:\WINDOWS\system32\MSMAPI32.OCX
2008-06-24 14:58 . 1998-07-06 17:55	64,512	--a------	C:\WINDOWS\system32\MSCC2DE.DLL
2008-06-24 14:58 . 1998-07-06 00:00	23,552	--a------	C:\WINDOWS\system32\MSMPIDE.DLL
2008-06-21 10:05 . 2008-06-21 10:05	<DIR>	d--------	C:\Programme\Paint.NET
2008-06-20 23:17 . 2008-06-20 23:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.thumbnails
2008-06-20 23:09 . 2008-06-20 23:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.gimp-2.4
2008-06-20 22:57 . 2008-06-22 13:30	<DIR>	d--------	C:\Programme\Drawing for Children
2008-06-18 16:45 . 2008-06-18 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Anvil Studio
2008-06-18 16:44 . 2008-06-18 16:45	<DIR>	d--------	C:\Programme\Anvil Studio
2008-06-17 23:05 . 2008-06-17 23:06	<DIR>	d--------	C:\Programme\Sixty Five Million And One BC
2008-06-17 21:05 . 2008-06-19 19:15	<DIR>	d--------	C:\Programme\Wesnoth.1.4.3
2008-06-17 16:41 . 2008-03-18 19:13	830,052	--a------	C:\WINDOWS\_detmp.1
2008-06-17 16:41 . 2001-01-23 17:36	49,152	--a------	C:\WINDOWS\_detmp.2
2008-06-16 21:58 . 2008-06-23 20:59	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\gtk-2.0
2008-06-16 21:44 . 2008-06-16 21:45	<DIR>	d--------	C:\Programme\Pidgin
2008-06-16 19:53 . 2008-06-27 19:21	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\.purple
2008-06-16 19:50 . 2008-06-18 10:07	<DIR>	d--------	C:\Programme\Aspell
2008-06-16 19:48 . 2008-06-16 19:48	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\GTK
2008-06-16 18:14 . 2008-06-16 18:14	<DIR>	d--------	C:\Programme\Opera
2008-06-14 16:41 . 2008-06-19 16:30	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-06-14 16:41 . 2008-06-14 16:41	1,409	--a------	C:\WINDOWS\QTFont.for
2008-06-11 21:12 . 2008-06-11 21:12	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Oliver Kliebisch
2008-06-11 21:09 . 2008-06-11 21:13	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.packagebuilder
2008-06-11 15:42 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-11 15:39 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 17:12 . 2008-06-10 17:12	65,536	--a------	C:\Dokumente und Einstellungen\David Schulte\DownloadManager.dll
2008-06-08 19:28 . 2008-06-08 19:28	<DIR>	d--------	C:\Programme\Yahoo!
2008-06-08 12:17 . 2008-06-08 12:21	3,429	--a------	C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-06-07 20:35 . 2008-06-07 20:35	<DIR>	d--------	C:\Programme\ASCII
2008-06-07 20:35 . 2000-07-08 17:06	87,040	--a------	C:\WINDOWS\UnGins.exe
2008-06-07 20:15 . 2008-06-08 10:53	<DIR>	d--------	C:\Programme\rpg2003
2008-06-04 19:13 . 2008-06-04 19:13	<DIR>	d--------	C:\Programme\DVDStyler
2008-06-04 19:13 . 2008-06-04 19:13	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\.thumb
2008-06-04 17:06 . 2008-06-04 17:07	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Cuttermaran
2008-06-04 16:58 . 2008-06-04 21:23	<DIR>	d--------	C:\Programme\GUI for dvdauthor
2008-06-03 20:10 . 2008-06-04 21:27	<DIR>	d--------	C:\Programme\Ashampoo
2008-06-03 20:10 . 2008-06-04 16:43	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Ashampoo
2008-06-03 20:10 . 2008-06-03 20:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-06-03 20:05 . 2008-06-03 20:05	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\CDBurnerXP_Soft
2008-06-02 18:06 . 2008-06-02 18:18	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Dev-Cpp
2008-06-02 18:06 . 2008-06-02 21:30	<DIR>	d--------	C:\Dev-Cpp
2008-06-01 13:49 . 2008-06-01 13:49	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blender Foundation
2008-05-31 20:02 . 2008-05-31 20:02	78,942	--a------	C:\WINDOWS\Icon_2.ico
2008-05-31 19:51 . 2008-05-31 19:51	<DIR>	d--------	C:\WINDOWS\system32\VIRepair
2008-05-31 19:25 . 2008-05-31 19:28	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\ViStart
2008-05-31 19:17 . 2008-06-07 23:28	<DIR>	d--------	C:\Programme\WinFlip
2008-05-31 19:17 . 2008-05-31 19:17	<DIR>	d--------	C:\Programme\TrueTransparency
2008-05-31 19:17 . 2008-05-31 19:17	<DIR>	d--------	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Styler
2008-05-31 19:16 . 2008-05-31 19:51	<DIR>	d--------	C:\Programme\Styler
2008-05-31 19:11 . 2008-05-31 20:02	<DIR>	d--------	C:\WINDOWS\system32\VITrans
2008-05-31 19:11 . 2008-05-31 19:11	78,942	--a------	C:\WINDOWS\Icon_1.ico
2008-05-31 19:11 . 2006-12-03 17:15	69,632	--a------	C:\WINDOWS\system32\moveex.exe
2008-05-31 19:11 . 2006-12-03 17:15	19,968	--a------	C:\WINDOWS\system32\reico.exe
2008-05-31 19:11 . 2006-12-03 17:14	8,636	--a------	C:\WINDOWS\system32\modifype.exe
2008-05-31 17:33 . 2008-05-31 17:33	<DIR>	d--------	C:\WINDOWS\system32\de
2008-05-31 17:20 . 2008-04-14 00:10	10,240	---------	C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-05-31 17:17 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\005972_.tmp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 19:23	22,263,840	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-28 19:15	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Skype
2008-06-28 18:23	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\skypePM
2008-06-28 17:41	262,280	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-27 22:14	467,456	----a-w	C:\WINDOWS\Internet Logs\xDB42.tmp
2008-06-27 20:59	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\FileZilla
2008-06-25 22:15	504,320	----a-w	C:\WINDOWS\Internet Logs\xDB41.tmp
2008-06-25 14:07	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-06-25 13:35	---------	d-----w	C:\Programme\TP
2008-06-24 16:45	---------	d-----w	C:\Programme\FileZilla FTP Client
2008-06-24 14:08	---------	d-----w	C:\Programme\HomepageMaker2
2008-06-24 14:07	---------	d-----w	C:\Programme\VideoLAN
2008-06-21 15:22	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YoYoGames
2008-06-17 15:48	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-17 15:48	---------	d-----w	C:\Programme\Tenda
2008-06-16 20:00	235,008	----a-w	C:\WINDOWS\Internet Logs\xDB40.tmp
2008-06-16 11:09	---------	d-----w	C:\Programme\myvillageonline
2008-06-14 22:38	691,200	----a-w	C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-06-14 22:38	19,224,576	----a-w	C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-06-14 17:32	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-09 19:54	18,183,680	----a-w	C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-06-09 19:54	1,411,072	----a-w	C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-06-08 10:21	70,662	----a-w	C:\WINDOWS\BricoPackUninst.cmd
2008-06-08 10:21	219,136	----a-w	C:\WINDOWS\system32\uxtheme.dll
2008-06-07 21:32	---------	d-----w	C:\Programme\CCleaner
2008-06-07 12:43	55,393	----a-w	C:\WINDOWS\Internet Logs\vsmon_2nd_2008_06_07_14_37_12_small.dmp.zip
2008-06-05 15:22	---------	d-----w	C:\Programme\GameSpy Arcade
2008-06-04 19:43	---------	d-----w	C:\Programme\Ubisoft
2008-06-04 19:43	---------	d-----w	C:\Programme\GameSpy
2008-06-04 18:51	48,520	----a-w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-31 16:45	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-05-31 14:50	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-05-31 14:11	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\ICQ
2008-05-24 15:10	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\.gjava2lite
2008-05-23 21:01	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\TeamViewer
2008-05-23 15:09	---------	d-----w	C:\Programme\Microsoft.NET
2008-05-23 15:08	---------	d-----w	C:\Programme\Microsoft SQL Server
2008-05-22 18:43	---------	d-----w	C:\Programme\NCH Swift Sound
2008-05-22 18:42	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\NCH Swift Sound
2008-05-22 18:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-05-21 17:14	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Itsth
2008-05-20 13:19	---------	d-----w	C:\Programme\Kodak
2008-05-20 13:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-05-20 13:10	---------	d-----w	C:\Programme\FeedReader30
2008-05-20 13:10	---------	d-----w	C:\Programme\EA GAMES
2008-05-20 13:10	---------	d-----w	C:\Programme\Atari
2008-05-19 18:58	240,128	----a-w	C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-05-19 18:58	15,988,224	----a-w	C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-05-17 19:42	---------	d-----w	C:\Programme\DivX
2008-05-14 19:45	313,856	----a-w	C:\WINDOWS\Internet Logs\xDB38.tmp
2008-05-14 19:45	15,660,032	----a-w	C:\WINDOWS\Internet Logs\xDB39.tmp
2008-05-14 19:27	---------	d-----w	C:\Programme\Conduit
2008-05-14 19:19	---------	d-----w	C:\Dokumente und Einstellungen\David Schulte\Anwendungsdaten\Feedreader
2008-05-13 01:53	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-05-13 01:53	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 01:51	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-05-13 01:51	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-05-13 01:49	161,096	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 01:49	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-11 17:47	---------	d-----w	C:\Programme\Team17 Software Ltd
2008-05-11 14:27	15,570,432	----a-w	C:\WINDOWS\Internet Logs\xDB37.tmp
2008-05-09 21:26	627,712	----a-w	C:\WINDOWS\Internet Logs\xDB35.tmp
2008-05-09 21:26	15,292,928	----a-w	C:\WINDOWS\Internet Logs\xDB36.tmp
2008-05-08 14:02	203,136	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10	1,293,824	----a-w	C:\WINDOWS\system32\quartz.dll
2008-05-04 16:38	188,416	----a-w	C:\WINDOWS\Internet Logs\xDB33.tmp
2008-05-04 16:38	14,322,176	----a-w	C:\WINDOWS\Internet Logs\xDB34.tmp
2008-05-03 22:01	---------	d-----w	C:\Programme\Google
2008-05-02 21:59	148,480	----a-w	C:\WINDOWS\Internet Logs\xDB31.tmp
2008-05-02 21:59	14,070,784	----a-w	C:\WINDOWS\Internet Logs\xDB32.tmp
2008-05-02 14:51	---------	d-----w	C:\Programme\No-IP
2008-05-01 21:18	467,968	----a-w	C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-05-01 21:18	13,851,136	----a-w	C:\WINDOWS\Internet Logs\xDB30.tmp
2008-04-24 19:54	41,472	----a-w	C:\WINDOWS\Internet Logs\xDB2D.tmp
2008-04-24 19:54	13,192,704	----a-w	C:\WINDOWS\Internet Logs\xDB2E.tmp
2008-04-23 19:44	90,624	----a-w	C:\WINDOWS\Internet Logs\xDB2B.tmp
2008-04-23 19:44	13,177,344	----a-w	C:\WINDOWS\Internet Logs\xDB2C.tmp
2008-04-23 04:16	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-04-22 16:03	73,216	----a-w	C:\WINDOWS\cadkasdeinst01.exe
2008-04-22 15:18	499,712	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-04-22 15:18	348,160	----a-w	C:\WINDOWS\system32\msvcr71.dll
2008-04-21 19:08	199,168	----a-w	C:\WINDOWS\Internet Logs\xDB2A.tmp
2008-04-17 22:23	70,144	----a-w	C:\WINDOWS\Internet Logs\xDB28.tmp
2008-04-17 22:23	12,621,312	----a-w	C:\WINDOWS\Internet Logs\xDB29.tmp
2008-04-15 19:22	93,184	----a-w	C:\WINDOWS\Internet Logs\xDB26.tmp
2008-04-15 19:22	12,595,200	----a-w	C:\WINDOWS\Internet Logs\xDB27.tmp
2008-04-14 06:06	1,804	----a-w	C:\WINDOWS\system32\dcache.bin
2008-04-14 05:55	333,312	----a-w	C:\WINDOWS\system32\netsetup.exe
2008-04-14 05:52	99,840	----a-w	C:\WINDOWS\system32\loadperf.dll
2008-04-14 05:51	762,368	----a-w	C:\WINDOWS\system32\WINNTBBU.DLL
2008-04-14 05:51	731,648	----a-w	C:\WINDOWS\system32\ntdll.dll
2008-04-14 05:51	57,375	----a-w	C:\WINDOWS\system32\odbcji32.dll
2008-04-14 05:51	5,632	----a-w	C:\WINDOWS\system32\wmi.dll
2008-04-14 05:51	4,126	----a-w	C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 05:51	24,064	----a-w	C:\WINDOWS\system32\pidgen.dll
2008-04-14 05:30	2,026,496	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 05:29	4,096	----a-w	C:\WINDOWS\system32\dsprpres.dll
2008-04-14 05:29	2,147,840	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 05:27	93,184	----a-w	C:\WINDOWS\system32\msxml6r.dll
2008-04-14 05:26	81,408	------w	C:\WINDOWS\system32\msshavmsg.dll
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2008-04-14 07:52  979456  bb8e0ae6833a774f4792cb8892ca92e6	C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f	C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 07:52  979456  bb8e0ae6833a774f4792cb8892ca92e6	C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\backup\explorer.exe
2008-04-14 07:52  1036800  418045a93cd87a352098ab7dabe1b53e	C:\WINDOWS\system32\VITrans\explorer.exe
.
(((((((((((((((((((((((((((((   snapshot@2008-06-28_17.55.47.79   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 15:37:07	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-28 17:42:35	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 20:23 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-11 20:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-22 17:18 185896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

C:\Dokumente und Einstellungen\David Schulte\Startmen�\Programme\Autostart\
No-IP DUC.lnk - C:\Programme\No-IP\DUC20.exe [2008-03-23 00:25:36 1172992]
Tenda TWL541C(P).lnk - C:\Programme\Tenda\TWL541C(P)\Mrv8000x.exe [2008-06-17 17:48:23 745524]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {295103A7-7FDF-4DC3-BAAF-4EF8D1ED5E50} - C:\WINDOWS\qegbdmwf.dll [ ]
"pntqkflv"= {274A3B66-FA0A-4236-A4B5-58154229E257} - C:\WINDOWS\pntqkflv.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awttqrol]
awttqrol.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"vidc.yv12"= yv12vfw.dll
"VIDC.IV41"= ir41_32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Dokumente und Einstellungen\\David Schulte\\Eigene Dateien\\DVD\\USB-Stick\\GameMaker-Spiele\\Game-Box\\Maumau.exe"=
"C:\\Dokumente und Einstellungen\\David Schulte\\Eigene Dateien\\DVD\\USB-Stick\\GameMaker-Spiele\\Bom-Mplay\\bom-Mplay-3D.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 20:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 20:23]
S3 DCamUSBSTK013;STK013 Camera;C:\WINDOWS\system32\DRIVERS\STK013W2.sys [2004-08-04 18:19]
S3 MRVW225;Tenda TWL541U Wireless LAN Dirver for Windows XP;C:\WINDOWS\system32\DRIVERS\MRVW225.sys [2005-12-21 11:44]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 15:34:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 21:23:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 21:27:52
ComboFix-quarantined-files.txt  2008-06-28 19:26:47
ComboFix2.txt  2008-06-28 18:03:21
ComboFix3.txt  2008-06-28 15:58:07

               8 Verzeichnis(se),  7,348,449,280 Bytes frei
               9 Verzeichnis(se),  7,332,683,776 Bytes frei

279	--- E O F ---	2008-06-19 17:16:16
         

Ich lade mir jetzt die beiden Programme runter!


Ich hätte mal ne frage:
Was macht dieses Virus wenn ich es drauf lassen würde mit den PC. es kamm eine sicherheits meldung, die gasagt hat ich solle eine "setup.exe" runterladen. ich habe diese Meldung nicht vertraut, da sie im Windows XP style war. ich hab zwar windows xp aber Vister Style^^


Blacklight hat nix gefunden!

Code: Alles auswählenAufklappen

ATTFilter

06/28/08 21:32:21 [Info]: BlackLight Engine 1.0.70 initialized
06/28/08 21:32:21 [Info]: OS: 5.1 build 2600 (Service Pack 3)
06/28/08 21:32:21 [Note]: 7019 4
06/28/08 21:32:21 [Note]: 7005 0
06/28/08 21:32:24 [Note]: 7006 0
06/28/08 21:32:24 [Note]: 7011 2364
06/28/08 21:32:24 [Note]: 7035 0
06/28/08 21:32:24 [Note]: 7026 0
06/28/08 21:32:24 [Note]: 7026 0
06/28/08 21:32:28 [Note]: FSRAW library version 1.7.1024
06/28/08 21:49:03 [Note]: 7007 0
         

Jetzt kommt Gmer!

Sorry wegen Doppelpost aber der EDIT button ist weg??!!

hier ist die Log von Gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-28 22:51:09
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwClose [0xF7443BB8]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwConnectPort [0xF3A81040]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreateFile [0xF3A7D930]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreateKey [0xF3A88A80]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwCreatePagingFile [0xF7437C70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreatePort [0xF3A81510]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreateProcess [0xF3A87870]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreateProcessEx [0xF3A87AA0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreateSection [0xF3A8AFD0]
SSDT            F7C98144                                                                                                         ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwCreateWaitablePort [0xF3A81600]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwDeleteFile [0xF3A7DF20]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwDeleteKey [0xF3A896E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwDeleteValueKey [0xF3A89440]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwDuplicateObject [0xF3A87580]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwEnumerateKey [0xF74384FE]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwEnumerateValueKey [0xF7443CB0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwLoadKey [0xF3A898B0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwOpenFile [0xF3A7DD70]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwOpenKey [0xF7443B34]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwOpenProcess [0xF3A87350]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwOpenThread [0xF3A87150]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwQueryKey [0xF743851E]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwQueryValueKey [0xF7443C06]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwRenameKey [0xF3A8A250]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwReplaceKey [0xF3A89CB0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwRequestWaitReplyPort [0xF3A80C00]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwRestoreKey [0xF3A8A080]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwSecureConnectPort [0xF3A81220]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwSetInformationFile [0xF3A7E120]
SSDT            vax347b.sys (Plug and Play BIOS Extension/ )                                                                     ZwSetSystemPowerState [0xF7443450]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwSetValueKey [0xF3A89140]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                      ZwTerminateProcess [0xF3A87CD0]
SSDT            F7C9813A                                                                                                         ZwWriteVirtualMemory

INT 0x62        ?                                                                                                                86FD8BF8
INT 0x83        ?                                                                                                                86FD8BF8
INT 0x94        ?                                                                                                                86D4EBF8
INT 0xA4        ?                                                                                                                86D4EBF8
INT 0xB4        ?                                                                                                                86D4EBF8

---- Kernel code sections - GMER 1.0.14 ----

.text           ntoskrnl.exe!ZwYieldExecution + 133                                                                              804E495D 7 Bytes  [ 78, A8, F3, A0, 7A, A8, F3 ]
?               spfx.sys                                                                                                         Das System kann die angegebene Datei nicht finden. !
?               Combo-Fix.sys                                                                                                    Das System kann die angegebene Datei nicht finden. !
?               srescan.sys                                                                                                      Das System kann die angegebene Datei nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                            F63B88AC 5 Bytes  JMP 86D4E1D8 
?               C:\ComboFix\catchme.sys                                                                                          Das System kann den angegebenen Pfad nicht finden. !
?               C:\WINDOWS\system32\Drivers\PROCEXP90.SYS                                                                        Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT             \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                               86F692D8
IAT             pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                             [F749C6D0] spfx.sys
IAT             pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                [F74A0708] spfx.sys
IAT             \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                               [F7482D7A] spfx.sys
IAT             \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                             86D4E2D8
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                         [F3A85CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                              [F3A861C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                             [F3A86320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                       [F3A85E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                         [F3A85E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                           [F3A85CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                [F3A861C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                               [F3A86320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                          [F3A85CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                        [F3A85E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                              [F3A86320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                               [F3A861C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                [F3A86320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                 [F3A861C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F3A85CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                         [F3A85E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                           [F3A85CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                [F3A861C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                               [F3A86320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]                                                  [F3A93330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                          [F3A85CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                        [F3A85E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                              [F3A86320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                               [F3A861C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]                                          [F3A7E5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]                                                  [F3A7E770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]                                                  [F3A7E2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                                                    [F3A7E670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                           86F651F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                           avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device          \Driver\NetBT \Device\NetBT_Tcpip_{A1C767A4-75DF-4187-A02C-1237EF9F5CB9}                                         86C48490
Device          \Driver\Tcpip \Device\Ip                                                                                         vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\NetBT \Device\NetBT_Tcpip_{D121E772-9216-4265-9FD6-12199FF98DED}                                         86C48490
Device          \Driver\usbohci \Device\USBPDO-0                                                                                 86D4C1F8
Device          \Driver\usbohci \Device\USBPDO-1                                                                                 86D4C1F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                        86F671F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                          86F671F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                             86F671F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                            86F671F8
Device          \Driver\usbehci \Device\USBPDO-2                                                                                 86D4F500
Device          \Driver\Tcpip \Device\Tcp                                                                                        vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                           86FD91F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                     86BFCF00
Device          \FileSystem\Rdbss \Device\FsWrap                                                                                 86B61858
Device          \Driver\Cdrom \Device\CdRom1                                                                                     86BFCF00
Device          \Driver\atapi \Device\Ide\IdePort0                                                                               86C10520
Device          \Driver\atapi \Device\Ide\IdePort1                                                                               86C10520
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                      86C10520
Device          \Driver\atapi \Device\Ide\IdePort2                                                                               86C10520
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                      86C10520
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                          86C48490
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                 86C48490
Device          \FileSystem\Srv \Device\LanmanServer                                                                             86B45778
Device          \Driver\Tcpip \Device\Udp                                                                                        vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                                                      vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\usbohci \Device\USBFDO-0                                                                                 86D4C1F8
Device          \Driver\usbohci \Device\USBFDO-1                                                                                 86D4C1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                86C3D500
Device          \Driver\usbehci \Device\USBFDO-2                                                                                 86D4F500
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                      86C3D500
Device          \FileSystem\Npfs \Device\NamedPipe                                                                               86C43D10
Device          \Driver\Ftdisk \Device\FtControl                                                                                 86FD91F8
Device          \FileSystem\Msfs \Device\Mailslot                                                                                86A19DA0
Device          \Driver\vax347s \Device\Scsi\vax347s1                                                                            86AC3670
Device          \Driver\vax347s \Device\Scsi\vax347s1Port3Path0Target0Lun0                                                       86AC3670
Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                               86C428B0
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                    86C428B0
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                86C428B0
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                 86C428B0
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                86C428B0
Device          \FileSystem\Cdfs \Cdfs                                                                                           864A3500
Device          \FileSystem\Cdfs \Cdfs                                                                                           86D9C6B8

---- Modules - GMER 1.0.14 ----

Module          _________                                                                                                        F7399000-F73B1000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                               771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                               285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                               1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                 
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                              0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                           0x3C 0x91 0x8C 0x93 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40                                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ujdew                                               0x20 0x02 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej40                                              0xC5 0x7A 0x01 0xD1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej41                                              0x7A 0x7A 0x01 0xD1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej42                                              0x7A 0x7A 0x01 0xD1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej43                                              0x7A 0x7A 0x01 0xD1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej44                                              0x7A 0x7A 0x01 0xD1 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x3C 0x91 0x8C 0x93 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x3C 0x91 0x8C 0x93 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{BD015C00-5FA6-E552-137B-126248F0AEB0}\InProcServer32                                
Reg             HKLM\SOFTWARE\Classes\CLSID\{BD015C00-5FA6-E552-137B-126248F0AEB0}\InProcServer32@jalbjoiolcjkkmbfipmc           0x6A 0x61 0x69 0x65 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{BD015C00-5FA6-E552-137B-126248F0AEB0}\InProcServer32@ialbpnooaodijpljkh             0x6A 0x61 0x6F 0x65 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D9361A0D-5385-966D-2D54-18B121BEBF8D}  

---- EOF - GMER 1.0.14 ----