jusched.exe Fehlermeldung

Cervantes · 14.03.2009, 19:28

Hier das Ergebnis

ComboFix 09-03-13.02 - Cervantes 2009-03-14 19:21:59.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3071.2630 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Cervantes\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Cervantes\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\drivers\aaa08d2.sys
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ :#:
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\aaa08d2.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KDQ2876
-------\Service_kdq2876

((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 19:22 . 2009-03-14 19:22 22,784 --a------ c:\windows\system32\drivers\lll4f4e.sys
2009-03-14 19:22 . 2009-03-14 19:22 22,784 --a------ c:\windows\system32\drivers\jjj94e8.sys
2009-03-14 19:22 . 2009-03-14 19:22 22,784 --a------ c:\windows\system32\drivers\gtt640b.sys
2009-03-14 13:29 . 2009-03-14 13:29 22,784 --a------ c:\windows\system32\drivers\kdq2876.sys
2009-03-08 18:19 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-03-08 18:19 . 2009-03-14 19:24 212,881 --a------ c:\windows\system32\nvapps.xml
2009-03-08 18:19 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
2009-03-08 18:18 . 2009-03-08 18:18 <DIR> d-------- C:\NVIDIA
2009-03-08 18:18 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-08 18:03 . 2009-03-12 18:36 189,072 --a------ c:\windows\system32\PnkBstrB.xtr
2009-03-02 19:23 . 2009-03-02 19:23 0 --a------ c:\windows\mngui.INI
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\programme\HP
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2009-02-15 09:43 . 2009-02-15 09:43 <DIR> d-------- c:\windows\system32\URTTEMP
2009-02-15 09:41 . 2009-02-15 09:43 <DIR> d--h----- c:\programme\Avago-HP
2009-02-15 09:41 . 2008-04-28 06:14 284,160 --a------ c:\windows\system32\HP1006LM.DLL
2009-02-15 09:41 . 2008-02-20 23:44 65,536 --a------ c:\windows\system32\HPPLVS.dll
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-13 05:45 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\OpenOffice.org2
2009-03-12 17:20 138,920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys
2009-02-08 10:43 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\AdobeUM
2009-02-05 04:59 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 08:39 22,328 ----a-w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\PnkBstrK.sys
2007-09-27 18:14 14 ----a-w c:\dokumente und einstellungen\Cervantes\getfile.dat
2008-08-28 17:58 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-14_18.31.38.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-14 18:24:21 16,384 ----atw c:\windows\temp\Perflib_Perfdata_f0.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 532480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source\\hl2.exe"=
"e:\\Programme\\Xfire\\ua_lsp_inst.exe"=
"e:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source beta\\hl2.exe"=
"d:\\Programme\\Winamp\\winamp.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"d:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"e:\\Valve\\Steam\\Steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Demos\\fear_mpdemo_en\\FEARMPDemo.exe"=
"e:\\New Folder\\Bin32\\Crysis.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"e:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*

isabled:@xpsp2res.dll,-22009
"19020:TCP"= 19020:TCP:*

isabled:BitComet 19020 TCP
"19020:UDP"= 19020:UDP:*

isabled:BitComet 19020 UDP
"41444:TCP"= 41444:TCP:*

isabled:Azureus
"41444:UDP"= 41444:UDP:*

isabled:Azureus

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-06-08 264704]
S2 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2006-10-13 16384]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - IIDA9E7
*Deregistered* - iida9e7

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-23 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: xfire_lsp_9996.dll
Trusted Zone: 1und1.de\www.maxdome
Trusted Zone: ahnlab.com\global
Trusted Zone: maxxdome.de\www
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 19:24:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\orqabbd]
"ImagePath"="\SystemRoot\System32\drivers\jjj94e8.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(716)
c:\windows\system32\xfire_lsp_9996.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 19:26:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 18:26:11
ComboFix2.txt 2009-03-14 17:32:09

Vor Suchlauf: 10 Verzeichnis(se), 20.761.100.288 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20,745,273,344 Bytes frei

189 --- E O F --- 2009-03-11 08:44:14

Cervantes · 14.03.2009, 20:29

Ist nun alles gekillt oder gehts noch weiter

john.doe · 14.03.2009, 20:54

Ja, der Verursacher lebt noch. Das ü im Dateinamen hat ComboFix nicht gefallen.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\orqabbd]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19020:TCP"=-
"19020:UDP"=-
"41444:TCP"=-
"41444:UDP"=-

File::
c:\windows\system32\drivers\kdq2876.sys
c:\windows\system32\drivers\gtt640b.sys
c:\windows\system32\drivers\jjj94e8.sys
c:\windows\system32\drivers\lll4f4e.sys
C:\WINDOWS\system32\drivers\llg4269.sys 
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Cervantes · 14.03.2009, 21:12

so hier das Ergebnis

ComboFix 09-03-13.02 - Cervantes 2009-03-14 21:05:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3071.2625 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Cervantes\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Cervantes\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
c:\windows\system32\drivers\gtt640b.sys
c:\windows\system32\drivers\jjj94e8.sys
c:\windows\system32\drivers\kdq2876.sys
c:\windows\system32\drivers\llg4269.sys
c:\windows\system32\drivers\lll4f4e.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
c:\windows\system32\drivers\gtt640b.sys
c:\windows\system32\drivers\jjj94e8.sys
c:\windows\system32\drivers\kdq2876.sys
c:\windows\system32\drivers\lll4f4e.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 21:05 . 2009-03-14 21:05 22,784 --a------ c:\windows\system32\drivers\sbfce5d.sys
2009-03-14 21:05 . 2009-03-14 21:05 22,784 --a------ c:\windows\system32\drivers\mpobd70.sys
2009-03-14 21:05 . 2009-03-14 21:05 22,784 --a------ c:\windows\system32\drivers\bfi0ad2.sys
2009-03-08 18:19 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-03-08 18:19 . 2009-03-14 21:07 212,881 --a------ c:\windows\system32\nvapps.xml
2009-03-08 18:19 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
2009-03-08 18:18 . 2009-03-08 18:18 <DIR> d-------- C:\NVIDIA
2009-03-08 18:18 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-08 18:03 . 2009-03-12 18:36 189,072 --a------ c:\windows\system32\PnkBstrB.xtr
2009-03-02 19:23 . 2009-03-02 19:23 0 --a------ c:\windows\mngui.INI
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\programme\HP
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2009-02-15 09:43 . 2009-02-15 09:43 <DIR> d-------- c:\windows\system32\URTTEMP
2009-02-15 09:41 . 2009-02-15 09:43 <DIR> d--h----- c:\programme\Avago-HP
2009-02-15 09:41 . 2008-04-28 06:14 284,160 --a------ c:\windows\system32\HP1006LM.DLL
2009-02-15 09:41 . 2008-02-20 23:44 65,536 --a------ c:\windows\system32\HPPLVS.dll
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-13 05:45 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\OpenOffice.org2
2009-03-12 17:20 138,920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys
2009-02-08 10:43 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\AdobeUM
2009-02-05 04:59 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 08:39 22,328 ----a-w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\PnkBstrK.sys
2007-09-27 18:14 14 ----a-w c:\dokumente und einstellungen\Cervantes\getfile.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-14_18.31.38.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-14 20:07:23 16,384 ----atw c:\windows\temp\Perflib_Perfdata_1b4.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 532480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source\\hl2.exe"=
"e:\\Programme\\Xfire\\ua_lsp_inst.exe"=
"e:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source beta\\hl2.exe"=
"d:\\Programme\\Winamp\\winamp.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"d:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"e:\\Valve\\Steam\\Steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Demos\\fear_mpdemo_en\\FEARMPDemo.exe"=
"e:\\New Folder\\Bin32\\Crysis.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"e:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*

isabled:@xpsp2res.dll,-22009

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-06-08 264704]
S2 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2006-10-13 16384]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PSC034C
*Deregistered* - psc034c

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-23 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: xfire_lsp_9996.dll
Trusted Zone: 1und1.de\www.maxdome
Trusted Zone: ahnlab.com\global
Trusted Zone: maxxdome.de\www
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 21:07:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ssb55f7]
"ImagePath"="\SystemRoot\System32\drivers\bfi0ad2.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(712)
c:\windows\system32\xfire_lsp_9996.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 21:09:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 20:09:09
ComboFix2.txt 2009-03-14 18:26:15
ComboFix3.txt 2009-03-14 17:32:09

Vor Suchlauf: 10 Verzeichnis(se), 20.721.430.528 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20,704,436,224 Bytes frei

188 --- E O F --- 2009-03-11 08:44:14

Andreas

john.doe · 14.03.2009, 21:31

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gleich im Anschluss: http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas

jusched.exe Fehlermeldung

Log-Analyse und Auswertung: jusched.exe Fehlermeldung