Trojan.DNSChanger - Ist das System noch zu retten?

Azcona · 27.01.2009, 17:19

Hallo Liebe Commuity,

ich wende mich mit folgendem Problem an euch:
Anfangs konnte ich antivir nicht mehr automatisch updaten, kurz darauf ist auch der windows defender ausgefallen. Als ich diesen manuell updaten wollte, konnte die seite von Microsoft nicht aufgerufen werden. Daraufhin habe ich mich entschlossen spybot zu installieren, aber der lies sich mit dem V0erweis "servername oder serveradresse wurde nicht gefunden" nicht installieren. Ad-aware konnte ich zwar installieren, aber nicht updaten. Kaspersky konnte nicht aufgerufen werden, BitDefender konnte zwar runtergeladen, aber nicht geupdatet werden...Malwarebytes zwar runterladen aber nicht updaten.
Mit letzterem wurde - Trojan.DNSChanger - gefunden. Den habe ich auch direkt löschen lassen. Seitdem geht Antivir wieder, sämtliche updates sind auch wieder möglich. Nun würde ich gerne wissen, ob ich mein system noch retten kann, oder schon irreparable schäden eingetreten sind.
Könnt ihr mir bitte weiterhelfen?
Konkret, wie kann ich herausfinden, ob das system noch zu retten ist, wenn ja - wie. Und falls es zum unvermeidlichen Plattmachen kommen muss - wie würdet ihr da am besten vorgehen und final, wie kann ich mich zukünftig besser davor schützen.(Habe noch eine externe Platte, die müsste ich genauso überprüfen).

Zu guter Letzt bitet mir Windows nun zahlreiche Updates an, die nun wieder möglich sind, kann ich diese "bedenkenlos" (sofernman sowas überhaupt kann) installieren, oder laufe ich gefahr, dass diese irgendwie verseucht sind?

Vielen dank für eure Hilfe.

Grüße

Hier der HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:00, on 27.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
C:\Program Files\lg_swupdate\GiljabiStart.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/de-de/wlscctrl2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://w*w.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 8111 bytes

und hier noch der LOG von Malwarebytes nach dem Update und dem erneuten Scan:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1698
Windows 6.0.6001 Service Pack 1

27.01.2009 17:00:18
mbam-log-2009-01-27 (17-00-18).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 161501
Laufzeit: 3 hour(s), 30 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

zu guter letzt noch der Log, als der Trojaner.DNSChanger gefunden wurde.
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 6.0.6001 Service Pack 1

27.01.2009 13:21:28
mbam-log-2009-01-27 (13-21-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58788
Laufzeit: 10 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\System32\msqpdxvmuqpirh.dll (Trojan.TDSS) -> Delete on reboot.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Russenaisko · 01.02.2009, 20:53

Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen?
MfG Russenaisko

Azcona · 01.02.2009, 22:32

Zitat:

Russenaisko
AW: Trojan.DNSChanger - Ist das System noch zu retten?
Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen?
MfG Russenaisko

Hallo Russenaisko,
danke für deine Nachfrage. Ich habe lediglich bisher das Problem dahingehend beseitigt, dass der Rechner sich wieder selbstständig updaten kann und ich wieder vollen Zugriff auf sämtliche Webseite habe. Aber ob in der Zeit, in der ich das nicht konnte, der Trojaner irgendwelche andere schädliche Software nachgezogen hat, das kann ich nicht beurteilen. Gefunden habe ich nichts, aber grundsätzlich traue ich einem (ehemals) kontaminierten System wenig.
Viell. hatte jm anderes denselben Trojaner und weiß wo eventuell besonders hingeschaut werden müsste.
Ansonsten habe ich mit dem Rechner keine Probleme, er ist zu Beginn deutlich langsamer, aber das kann auch an den Virenprogrammen/Firewall liegen.

Grüße
Azcona

john.doe · 01.02.2009, 22:52

Hallo und

Zitat:

Aber ob in der Zeit, in der ich das nicht konnte, der Trojaner irgendwelche andere schädliche Software nachgezogen hat, das kann ich nicht beurteilen.

Er hat.

Zitat:

Gefunden habe ich nichts, aber grundsätzlich traue ich einem (ehemals) kontaminierten System wenig.

Gute Einstellung.

Zitat:

Viell. hatte jm anderes denselben Trojaner und weiß wo eventuell besonders hingeschaut werden müsste.

Der verbreitet sich über externe Datenträger. Die Fälle, die ich betreut habe, endeten alle mit einer Neuinstallation. Allerdings wurde vorher immer bereinigt, damit nach einer Neuinstallation nicht sofortiger Wiederbefall eintrat, wie z.B. bei ihm hier: http://www.trojaner-board.de/68318-r...ht=disinfector

Wenn du sicher sein möchtest, dann schliesse alle externen Datenträger an, lasse ComboFix laufen und anschliessend Neuinstallation. Deaktiviere die Autoplayfunktion von Windows, um weiteren Befall zu vermeiden. Desinfiziere externe Datenträger mit Flash Disinfector (Link im obigen Link).

Falls du lieber reinigen möchtest, dann starte damit:
GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklick auf gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Azcona · 01.02.2009, 23:58

Hallo John.Doe,

habe mich vorerst für die 2. Variante entschieden. Hier der Log:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-01 23:56:42
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

SSDT 9B82666C ZwCreateThread
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwOpenProcess [0x9CB32BCE]
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwOpenThread [0x9CB32CBC]
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwTerminateProcess [0x9CB32B32]
SSDT 9B826662 ZwWriteVirtualMemory

INT 0x51 ? 861EFF00
INT 0x51 ? 861EFF00
INT 0x52 ? 861EFF00
INT 0x62 ? 861EFF00
INT 0x72 ? 861EFF00
INT 0x82 ? 8488EBF8
INT 0x92 ? 8488EBF8
INT 0xB2 ? 861EFF00

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 820CCA18 4 Bytes [ 6C, 66, 82, 9B ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 820CCBE8 4 Bytes [ CE, 2B, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 820CCC04 4 Bytes [ BC, 2C, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 820CCE18 4 Bytes [ 32, 2B, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 820CCE78 4 Bytes [ 62, 66, 82, 9B ]
? System32\Drivers\spob.sys Das System kann die angegebene Datei nicht finden. !
PAGE ataport.SYS!DllUnload 826D8B2E 5 Bytes JMP 8488E1D8
.text USBPORT.SYS!DllUnload 82F4846F 5 Bytes JMP 861EF4E0
.text a9nndqwe.SYS 8CADF000 22 Bytes [ 26, 42, 3D, 82, 10, 41, 3D, ... ]
.text a9nndqwe.SYS 8CADF017 83 Bytes [ 00, 32, C7, 79, 80, 3D, C5, ... ]
.text a9nndqwe.SYS 8CADF06B 97 Bytes [ 82, CB, E2, 25, 82, E0, 67, ... ]
.text a9nndqwe.SYS 8CADF0CE 73 Bytes [ 00, 00, 00, 00, 01, C2, 03, ... ]
.text a9nndqwe.SYS 8CADF118 185 Bytes [ 3F, 48, 3E, 8A, 3C, CC, 3D, ... ]
.text ...
? System32\Drivers\1725d078.sys Das System kann die angegebene Datei nicht finden. !
? System32\Drivers\dac44383.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[5276] kernel32.dll!SetUnhandledExceptionFilter 77426E2D 5 Bytes JMP 66B45629 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806966D2] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80696040] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [806967FC] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806960BE] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8069613C] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [806A5D92] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortNotification] 000000DC
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortUchar] 000000A2
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortUlong] 00000333
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 000003D8
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 0000024D
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetScatterGatherList] 00000201
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortUchar] 000001EF
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortStallExecution] 0000031F
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetParentBusType] 000000A1
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortRequestCallback] 0000025C
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 000003BE
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 00000215
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortCompleteRequest] 000000DD
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortMoveMemory] 00000190
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 00000182
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 00000363
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 00000258
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortUshort] 0000030E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 0000017E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortInitialize] 00000254
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetDeviceBase] 0000019E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortDeviceStateChange] 000000AB

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 852241F8

AttachedDevice \FileSystem\Ntfs \Ntfs trufos.sys

Device \FileSystem\fastfat \FatCdrom 84C721F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 848901F8
Device \Driver\usbuhci \Device\USBPDO-0 862731F8
Device \Driver\usbuhci \Device\USBPDO-1 862731F8
Device \Driver\usbehci \Device\USBPDO-2 862A21F8
Device \Driver\usbuhci \Device\USBPDO-3 862731F8
Device \Driver\usbuhci \Device\USBPDO-4 862731F8

AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys

Device \Driver\usbuhci \Device\USBPDO-5 862731F8
Device \Driver\usbehci \Device\USBPDO-6 862A21F8
Device \Driver\volmgr \Device\HarddiskVolume1 848901F8
Device \Driver\sptd \Device\1573798644 spob.sys
Device \Driver\volmgr \Device\HarddiskVolume2 848901F8
Device \Driver\cdrom \Device\CdRom0 862A31F8
Device \Driver\volmgr \Device\HarddiskVolume3 848901F8
Device \Driver\cdrom \Device\CdRom1 862A31F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 852231F8
Device \Driver\atapi \Device\Ide\IdePort0 852231F8
Device \Driver\atapi \Device\Ide\IdePort1 852231F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-3 852231F8
Device \Driver\cdrom \Device\CdRom2 862A31F8
Device \Driver\netbt \Device\NetBt_Wins_Export 87EA31F8
Device \Driver\USBSTOR \Device\00000092 85479500
Device \Driver\Smb \Device\NetbiosSmb 87EDD500
Device \Driver\USBSTOR \Device\00000093 85479500
Device \Driver\iScsiPrt \Device\RaidPort0 8638C1F8

AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys

Device \Driver\netbt \Device\NetBT_Tcpip_{F7B9DCDD-8F96-4EE2-AD0C-D522B7C41908} 87EA31F8
Device \Driver\usbuhci \Device\USBFDO-0 862731F8
Device \Driver\PCI_PNP4630 \Device\0000006d spob.sys
Device \Driver\usbuhci \Device\USBFDO-1 862731F8
Device \Driver\usbehci \Device\USBFDO-2 862A21F8
Device \Driver\usbuhci \Device\USBFDO-3 862731F8
Device \Driver\usbuhci \Device\USBFDO-4 862731F8
Device \Driver\netbt \Device\NetBT_Tcpip_{7994387F-E97A-478B-B6FF-465B512B2FE6} 87EA31F8
Device \Driver\usbuhci \Device\USBFDO-5 862731F8
Device \Driver\usbehci \Device\USBFDO-6 862A21F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1Port5Path0Target0Lun0 8637A1F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1Port5Path0Target1Lun0 8637A1F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1 8637A1F8
Device \FileSystem\fastfat \Fat 84C721F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat trufos.sys

Device \FileSystem\cdfs \Cdfs 9E8081F8

---- Services - GMER 1.0.14 ----

Service system32\drivers\msqpdxxxieobcp.sys (*** hidden *** ) [SYSTEM] msqpdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df03620bf
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxvmuqpirh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xE7 0x6A 0x60 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x17 0xAF 0x8D 0x92 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB8 0xDE 0x9B 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF2 0xA4 0x29 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC3 0x3C 0xD3 0x27 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df03620bf
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxvmuqpirh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xE7 0x6A 0x60 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x17 0xAF 0x8D 0x92 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB8 0xDE 0x9B 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF2 0xA4 0x29 0x6D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC3 0x3C 0xD3 0x27 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x6F 0x5D 0x64 0xD1 ...

---- EOF - GMER 1.0.14 ----

Vielen Dank für weitere Instruktionen.
Grüße

ps. auf jeden fallhat er zwei mal mir ne warnung separat angezeigt, dass was verändert wurde.

john.doe · 02.02.2009, 00:12

Anleitung Avenger (by swandog46)

Lade dir das Tool yxcv.com (ist Avenger drin) und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
msqpdxserv.sys

Files to delete:
C:\Windows\System32\drivers\msqpdxxxieobcp.sys
C:\Windows\system32\msqpdxvmuqpirh.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Azcona · 02.02.2009, 00:34

Hallo Andreas,

wenn ich versuche die von angegebene Datei runterzuladen schlägt Bitdefender Alarm, und die Datei kann nicht gespeichert werden, Ich werde jedes mal aufgefordert ein anderes Verzeichnis zu wählen.

Bitdefender hat das gefunden:
GenPack:Trojan.Generic.1411777

Wie soll ich weitervorgehen, kann ich das Programm auch woanderst herbeziehen?
Danke,
Grüße
Jan

ps.
*edit*
Das hat AntiVir heute noch gemeldet:

In der Datei 'C:\Windows\System32\CmdLineExt03.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.RL' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

john.doe · 02.02.2009, 16:39

Zitat:

wenn ich versuche die von angegebene Datei runterzuladen schlägt Bitdefender Alarm, und die Datei kann nicht gespeichert werden

Zitat von Oschad, Quelle: Computersicherheit - Virenscanner

Zitat:

Was kann man aus dieser Geschichte lernen?

Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.

Außerdem gilt:

Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.

Den tatsächlichen Schädling, den fiesen Rootkit hat Bitdefender nicht verhindert. Aber das Tool, mit dem du den Schädling beseitigen kannst, den verhindert er.

Soll ich wirklich noch einmal meine Meinung zu "Sicherheitsprogrammen" kundtun?

Deaktiviere oder noch besser deinstalliere Bitdefender.

ciao, andreas

Russenaisko · 02.02.2009, 17:33

Hallo john.doe,
Ich bräuchte auch deine Hilfe bezüglich des Trojan.DNSChanger und die "auswertung" von gmer. Ich stelle gleich meine Auswertung rein.
Danke für dein Hilfe

john.doe · 02.02.2009, 17:42

@Russenaisko

Bitte eröffne deinen eigenen Thread, so wie es hier steht: Trojaner-Board - Impressum

Zitat:

Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Erstelle dafür ein eigenes Thema um Verwirrung zu vermeiden. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

ciao, andreas

Russenaisko · 02.02.2009, 17:45

Nein Text ist zu lang was nun?
MfG Russenaisko

Azcona · 02.02.2009, 21:05

Hallo Andreas,
nach dem ich den Kampf gegen Bitdefender als user nicht gewinnen konnte, musste ich ihn entfernen, alles andere hat nicht geholfen.
Aber:

hier ist der LOG:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "msqpdxserv.sys" deleted successfully.

Error: file "C:\Windows\System32\drivers\msqpdxxxieobcp.sys" not found!
Deletion of file "C:\Windows\System32\drivers\msqpdxxxieobcp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\msqpdxvmuqpirh.dll" not found!
Deletion of file "C:\Windows\system32\msqpdxvmuqpirh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

warte nun auf wietere Instruktionen. Was ich super finden würde wäre, wenn du zu dem einen oder anderen nen erklärenden satz dazuschreibst. einfach was wir machen, bzw warum

rein interessehalber

Vielen dank Dir,
Grüße
Jan

john.doe · 02.02.2009, 21:28

Hänge alle externen Datenträger, die jemals am Computer angesteckt wurden, vor dem Scan an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Azcona · 02.02.2009, 22:26

ComboFix 09-02-02.03 - Jan 2009-02-02 22:16:52.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2047.1251 [GMT 1:00]
ausgeführt von:: c:\users\Jan\Desktop\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: BitDefender Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\resycled
h:\resycled\boot.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

2009-02-02 22:06 . 2009-02-02 22:06 <DIR> d-------- c:\program files\CCleaner
2009-02-02 20:30 . 2009-02-02 20:30 121 --a------ c:\windows\bdagent.INI
2009-02-01 23:26 . 2009-02-01 23:28 250 --a------ c:\windows\gmer.ini
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\users\Jan\AppData\Roaming\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\programdata\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:27 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-27 13:06 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-01-27 13:06 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-01-27 12:36 . 2009-02-02 20:52 81,984 --a------ c:\windows\System32\bdod.bin
2009-01-27 12:30 . 2009-01-27 12:30 850 --a------ c:\windows\System32\ProductTweaks.xml
2009-01-27 12:30 . 2009-01-27 12:30 385 --a------ c:\windows\System32\user_gensett.xml
2009-01-27 12:25 . 2009-01-27 12:25 <DIR> d-------- c:\windows\System32\logs
2009-01-27 12:25 . 2009-01-27 12:25 <DIR> d-------- c:\users\Jan\AppData\Roaming\BitDefender
2009-01-27 12:23 . 2009-01-27 12:29 <DIR> d-------- c:\users\All Users\BitDefender
2009-01-27 12:23 . 2009-01-27 12:29 <DIR> d-------- c:\programdata\BitDefender
2009-01-27 12:23 . 2009-02-02 20:54 <DIR> d-------- c:\program files\BitDefender
2009-01-27 12:19 . 2009-01-27 12:19 <DIR> d-------- c:\windows\System32\URTTEMP
2009-01-27 12:18 . 2009-02-02 20:54 <DIR> d-------- c:\program files\Common Files\BitDefender
2009-01-27 12:10 . 2009-02-02 01:10 <DIR> d-------- c:\program files\Panda Security
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\windows\System32\Kaspersky Lab
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\users\All Users\Kaspersky Lab
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\programdata\Kaspersky Lab
2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- c:\users\Jan\Pavark
2009-01-26 20:40 . 2009-01-26 20:40 <DIR> d----c--- c:\windows\System32\DRVSTORE
2009-01-26 20:40 . 2009-01-18 22:30 64,160 --a------ c:\windows\System32\drivers\Lbd.sys
2009-01-26 20:35 . 2009-01-26 20:35 <DIR> d--h-c--- c:\users\All Users\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-26 20:35 . 2009-01-26 20:35 <DIR> d--h-c--- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-26 20:34 . 2009-01-26 20:42 <DIR> d-------- c:\users\All Users\Lavasoft
2009-01-26 20:34 . 2009-01-26 20:42 <DIR> d-------- c:\programdata\Lavasoft
2009-01-26 20:34 . 2009-01-26 20:34 <DIR> d-------- c:\program files\Lavasoft
2009-01-26 20:05 . 2009-01-26 20:05 <DIR> d-------- c:\program files\Trend Micro
2009-01-26 10:34 . 2009-01-26 10:37 <DIR> d-------- c:\program files\Windows Live Safety Center
2009-01-19 10:19 . 2009-01-19 10:18 410,984 --a------ c:\windows\System32\deploytk.dll
2009-01-19 09:57 . 2008-12-16 03:42 288,768 --a------ c:\windows\System32\drivers\srv.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-02 20:03 --------- d-----w c:\program files\lg_swupdate
2009-02-02 09:17 --------- d-----w c:\programdata\AntiVir PersonalEdition Classic
2009-01-19 09:18 --------- d-----w c:\program files\Java
2009-01-15 21:29 12,931 ----a-w c:\users\Jan\AppData\Roaming\nvModes.dat
2009-01-06 20:53 --------- d-----w c:\users\Jan\AppData\Roaming\teamspeak2
2009-01-05 12:18 --------- d-----w c:\program files\Common Files\Adobe
2009-01-04 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-04 20:48 --------- d-----w c:\program files\Macromedia
2009-01-04 20:45 --------- d-----w c:\program files\Opera
2009-01-01 17:16 --------- d-----w c:\users\Jan\AppData\Roaming\Leadertech
2008-12-31 21:41 --------- d-----w c:\users\Jan\AppData\Roaming\Creative
2008-12-14 17:23 --------- d-----w c:\users\Jan\AppData\Roaming\Pegasys Inc
2008-12-13 17:20 --------- d-----w c:\program files\QIP
2008-09-05 18:56 174 --sha-w c:\program files\desktop.ini
2007-12-27 17:06 32 ----a-w c:\users\All Users\ezsid.dat
2007-12-27 17:06 32 ----a-w c:\programdata\ezsid.dat
2007-12-13 11:26 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-12-13 11:26 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-12-13 11:26 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QIP2005"="c:\program files\QIP\qip.exe" [2008-12-09 3259392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MGSysCtrl"="c:\program files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 565248]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2008-08-17 251184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-28 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-28 81920]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-02 509784]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 c:\windows\RtHDVCpl.exe]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]
VPN Client.lnk - c:\program files\Cisco Systems\VPN Client\vpngui.exe [2007-04-03 1537064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2007-11-06 09:16 3096576 c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
--a------ 2007-04-28 18:05 86016 c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{FD61B95F-F42C-4730-BDDD-1DB8C3F3E052}e:\\worms\\worms worldparty\\wwp.exe"= UDP:e:\worms\worms worldparty\wwp.exe:Worms World Party
"UDP Query User{D05C9997-0323-4F95-9B52-372C5265CCEF}e:\\worms\\worms worldparty\\wwp.exe"= TCP:e:\worms\worms worldparty\wwp.exe:Worms World Party
"TCP Query User{FA41DDCD-A51D-4FD8-BC82-451974928E89}c:\\program files\\java\\jre1.6.0_02\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_02\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{54752B49-67BD-4CD9-AE8E-3987224CEBAD}c:\\program files\\java\\jre1.6.0_02\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_02\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{FD5FDE72-99AA-41C4-9715-8D0839DBF85C}c:\\program files\\qip\\qip.exe"= UDP:c:\program files\qip\qip.exe:Quiet Internet Pager
"UDP Query User{D18DD3E6-4A7E-4AA1-ABEE-09BF79512F52}c:\\program files\\qip\\qip.exe"= TCP:c:\program files\qip\qip.exe:Quiet Internet Pager
"TCP Query User{A08B6A1C-9645-4DB5-B266-8690492FB282}c:\\program files\\java\\jdk1.6.0_02\\jre\\bin\\java.exe"= UDP:c:\program files\java\jdk1.6.0_02\jre\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{493F9AD4-E51E-4474-9D2B-4AAA5714A00A}c:\\program files\\java\\jdk1.6.0_02\\jre\\bin\\java.exe"= TCP:c:\program files\java\jdk1.6.0_02\jre\bin\java.exe:Java(TM) Platform SE binary
"{0B2C32C7-5AD1-4F77-9F47-B7EAA514FF00}"= c:\users\Jan\Desktop\Jan\gezogen\Command & Conquer 3\RetailExe\1.5\cnc3game.dat:Command & Conquer 3 Tiberium Wars
"TCP Query User{D1498A19-444C-4353-9429-C7264B2C4610}c:\\users\\jan\\desktop\\jan\\gezogen\\command & conquer 3\\retailexe\\1.8\\cnc3game.dat"= UDP:c:\users\jan\desktop\jan\gezogen\command & conquer 3\retailexe\1.8\cnc3game.dat:cnc3game.dat
"UDP Query User{C133FAB4-28C8-4BE7-8BE9-DE6DA76195C8}c:\\users\\jan\\desktop\\jan\\gezogen\\command & conquer 3\\retailexe\\1.8\\cnc3game.dat"= TCP:c:\users\jan\desktop\jan\gezogen\command & conquer 3\retailexe\1.8\cnc3game.dat:cnc3game.dat
"TCP Query User{F9FC612F-5E1E-4E71-B4B7-1801780CD337}c:\\users\\jan\\desktop\\jan\\gezogen\\ut2004\\system\\ut2004.exe"= UDP:c:\users\jan\desktop\jan\gezogen\ut2004\system\ut2004.exe:ut2004.exe
"UDP Query User{F8E20296-DC67-4A6B-A976-0B43F7405C0E}c:\\users\\jan\\desktop\\jan\\gezogen\\ut2004\\system\\ut2004.exe"= TCP:c:\users\jan\desktop\jan\gezogen\ut2004\system\ut2004.exe:ut2004.exe
"{0241B77C-1613-4B59-BBA8-4CA74A952ABA}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{9C52B1D3-D6EB-4049-9EE0-59238B6004F2}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{3C805638-B6A5-4C37-86F0-020BCF0C280D}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{7A63D660-814E-402A-B8C7-DE87CA7369C9}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C75CF268-3137-47A6-A4FA-83E671895A29}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{6EBC542C-8CAC-4FA5-B46A-AFD372B1EAB8}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{5A1655E2-41A1-4852-85DB-29010D4851BC}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{60481D77-835A-4253-83B4-AA2B069C1CE1}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{2C084982-62FE-49BA-AD26-718732404075}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{28391057-B674-4DC2-8B7D-3B99475DE7D5}c:\\program files\\valve\\hl.exe"= UDP:c:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{E67A7DEE-7026-49FA-8F79-9CCF2C534457}c:\\program files\\valve\\hl.exe"= TCP:c:\program files\valve\hl.exe:Half-Life Launcher
"TCP Query User{CDFDB2CF-5DB3-4570-B0C0-1C8E8130A5AA}c:\\program files\\hydrairc\\hydrairc.exe"= UDP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"UDP Query User{BDF92AB0-3BA3-4E29-8BAD-570013A11386}c:\\program files\\hydrairc\\hydrairc.exe"= TCP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"{DEF715A9-F5F7-4130-8AB6-BDE510F208E2}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{5664C83C-6D06-4ED3-9D26-37960EB5165D}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{20EA8BC8-5D8A-4E7D-B8C2-93AFA0D320D1}c:\\program files\\hydrairc\\hydrairc.exe"= UDP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"UDP Query User{8BE2FD80-0D79-4552-9EB5-D6E30F554CCA}c:\\program files\\hydrairc\\hydrairc.exe"= TCP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"TCP Query User{C0388E27-E767-4A73-944B-EF8A2147AD6A}c:\\program files\\mirc\\mirc.exe"= UDP:c:\program files\mirc\mirc.exe:mIRC
"UDP Query User{C0237A71-1C6B-49F1-9BE1-6D325E4F281A}c:\\program files\\mirc\\mirc.exe"= TCP:c:\program files\mirc\mirc.exe:mIRC
"TCP Query User{07EA7E23-53AE-40C7-9510-E8E5F8216C87}c:\\program files\\mirc\\mirc.exe"= UDP:c:\program files\mirc\mirc.exe:mIRC
"UDP Query User{92A48458-33D2-465D-9BCA-E4F4E6DC1B39}c:\\program files\\mirc\\mirc.exe"= TCP:c:\program files\mirc\mirc.exe:mIRC
"TCP Query User{EA47C596-AAB7-4DF1-97D1-7F1D51F8489E}c:\\program files\\valve\\hl.exe"= UDP:c:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{05110BEF-06F4-4220-9637-489F332CB089}c:\\program files\\valve\\hl.exe"= TCP:c:\program files\valve\hl.exe:Half-Life Launcher
"{F241CDE2-CEEB-403B-B7E3-4B869405D67F}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{E40259B8-E4FA-4D61-AF55-689BEFE05602}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{8FAC13C8-AAB0-4494-BF4A-1DF3C23F76A8}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{D652E77D-4230-4488-BF2E-4BB9874BA52D}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{DB9586C5-8BF7-4B75-A9E5-DBD3315131FB}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{CA7F33FF-D84F-4958-BDE9-7A73C794C772}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{4A2B3F80-082F-463C-9569-34442F11B351}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{815810D3-45E1-41B2-B9D9-43F52E753AA9}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{160349E4-70BD-457A-B0D9-08CC5A1BBEAC}c:\\program files\\java\\jdk1.6.0_03\\bin\\rmiregistry.exe"= UDP:c:\program files\java\jdk1.6.0_03\bin\rmiregistry.exe:Java(TM) Platform SE binary
"UDP Query User{D91A3938-D05C-4BFD-B818-7274A43B3DEA}c:\\program files\\java\\jdk1.6.0_03\\bin\\rmiregistry.exe"= TCP:c:\program files\java\jdk1.6.0_03\bin\rmiregistry.exe:Java(TM) Platform SE binary
"TCP Query User{6FE1A846-1FFC-4910-8FAA-5ED81F0B534A}c:\\program files\\java\\jre1.6.0_05\\bin\\rmiregistry.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\rmiregistry.exe:Java(TM) Platform SE binary
"UDP Query User{A38D7BE2-45AB-4FAB-847F-2D61A5ECA442}c:\\program files\\java\\jre1.6.0_05\\bin\\rmiregistry.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\rmiregistry.exe:Java(TM) Platform SE binary
"TCP Query User{7C81081A-6123-49E7-8E0D-A911E8FEDD86}c:\\program files\\3do\\heroes 3 complete\\heroes3.exe"= UDP:c:\program files\3do\heroes 3 complete\heroes3.exe:Heroes of Might and Magic® III
"UDP Query User{FF4EF718-C4CA-48D6-A595-FC6B340161BB}c:\\program files\\3do\\heroes 3 complete\\heroes3.exe"= TCP:c:\program files\3do\heroes 3 complete\heroes3.exe:Heroes of Might and Magic® III
"TCP Query User{329FCC26-8507-4983-A7FB-7E7344704535}c:\\windows\\system32\\dplaysvr.exe"= UDP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"UDP Query User{2CB996E6-633F-4DCE-B181-2BCEE08210F6}c:\\windows\\system32\\dplaysvr.exe"= TCP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"TCP Query User{8B4D3056-F62E-4460-9A1E-7C4CE2E40FCC}c:\\program files\\miranda im\\miranda32.exe"= UDP:c:\program files\miranda im\miranda32.exe:Miranda IM
"UDP Query User{A027C3FE-676A-4B6E-9ACA-CB5D35059CD9}c:\\program files\\miranda im\\miranda32.exe"= TCP:c:\program files\miranda im\miranda32.exe:Miranda IM
"{9E77FE68-87F3-43C5-BFAD-5F6A3DD0CE1B}"= UDP:c:\program files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{2E991FBE-7317-4968-9F61-D84B0C8A5AD1}"= TCP:c:\program files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{210C87AF-A464-4345-B41B-58EF6E919E6C}c:\\program files\\fdrlab\\anytv\\anytv.exe"= UDP:c:\program files\fdrlab\anytv\anytv.exe:anyTV exe file
"UDP Query User{2C1A070D-4857-4A9C-B821-9C87AF3A347E}c:\\program files\\fdrlab\\anytv\\anytv.exe"= TCP:c:\program files\fdrlab\anytv\anytv.exe:anyTV exe file
"TCP Query User{41C38B01-825F-455E-8629-55C3580BE538}c:\\program files\\empire interactive\\strangelite\\starship troopers\\stgame.exe"= UDP:c:\program files\empire interactive\strangelite\starship troopers\stgame.exe:Starship Troopers US/Euro2
"UDP Query User{99828CF3-F086-4024-90E8-F0051C755213}c:\\program files\\empire interactive\\strangelite\\starship troopers\\stgame.exe"= TCP:c:\program files\empire interactive\strangelite\starship troopers\stgame.exe:Starship Troopers US/Euro2
"TCP Query User{48D87E35-0381-40DC-821A-5E8F14A019BC}c:\\program files\\activision\\call of duty 4 - modern warfare\\iw3mp.exe"= UDP:c:\program files\activision\call of duty 4 - modern warfare\iw3mp.exe:iw3mp
"UDP Query User{97954A3E-1025-42E3-BE2D-98D7B5AE3D99}c:\\program files\\activision\\call of duty 4 - modern warfare\\iw3mp.exe"= TCP:c:\program files\activision\call of duty 4 - modern warfare\iw3mp.exe:iw3mp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [2009-01-26 64160]
R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [2006-11-20 38400]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [2007-03-09 35968]
R2 NishService;Evil Driver Daemon;c:\program files\LG Software\System Control Manager\edd.exe [2007-05-09 40960]
R3 MGHwCtrl;MGHwCtrl;c:\windows\System32\drivers\MGHwCtrl.sys [2007-05-09 9088]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b9c1637-6f67-11dc-a04c-0019db3d8a9b}]
\shell\AutoRun\command - F:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5d02117f-d787-11dd-8db8-9ed2c7d995d5}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL h:\resycled\boot.com f:
\shell\Open\command - h:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa60eb5e-5d9c-11dc-8a71-0019db3d8a9b}]
\shell\AutoRun\command - E:\autoplay.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-02 20:43]

2009-02-02 c:\windows\Tasks\User_Feed_Synchronization-{8403E445-6EA8-47F8-8698-6EDD57283A42}.job
- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Photo Downloader - c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
MSConfigStartUp-AlcoholAutomount - c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe
MSConfigStartUp-CTSysVol - c:\program files\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
MSConfigStartUp-UpdReg - c:\windows\UpdReg.EXE
MSConfigStartUp-SbUsb AudCtrl - sbusbdll.dll
MSConfigStartUp-SetDefaultMIDI - MIDIDef.exe

.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\3ivumtu1.default\
FF - component: c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\3ivumtu1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 22:20:32
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-02 22:23:28
ComboFix-quarantined-files.txt 2009-02-02 21:23:25

Vor Suchlauf: 19 Verzeichnis(se), 61.405.306.880 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 61,066,227,712 Bytes frei

232 --- E O F --- 2009-02-02 14:31:34

Für einen USB stick hatte ich leider keinen steckplatz mehr. Wie soll ich diesen ggf überprüfen?
Soweit so gut,

Grüße
Jan

john.doe · 02.02.2009, 22:44

Zitat:

Für einen USB stick hatte ich leider keinen steckplatz mehr. Wie soll ich diesen ggf überprüfen?

ComboFix hat den Autostart abgeschaltet. Du kannst ihn gefahrlos anstecken und ComboFix noch einmal laufen lassen.

Zitat:

In der Datei 'C:\Windows\System32\CmdLineExt03.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.RL' [trojan] gefunden.

Lade die Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste nach der Analyse die komplette Ausgabe.

ciao, andreas

01.02.2009, 20:53	#2
Russenaisko Gesperrt	Trojan.DNSChanger - Ist das System noch zu retten? Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen? MfG Russenaisko __________________

02.02.2009, 17:33	#9
Russenaisko Gesperrt	Trojan.DNSChanger - Ist das System noch zu retten? Hallo john.doe, Ich bräuchte auch deine Hilfe bezüglich des Trojan.DNSChanger und die "auswertung" von gmer. Ich stelle gleich meine Auswertung rein. Danke für dein Hilfe

02.02.2009, 17:45	#11
Russenaisko Gesperrt	Trojan.DNSChanger - Ist das System noch zu retten? Nein Text ist zu lang was nun? MfG Russenaisko

Trojan.DNSChanger - Ist das System noch zu retten?

Plagegeister aller Art und deren Bekämpfung: Trojan.DNSChanger - Ist das System noch zu retten?