Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"

Heinz_Peter · 20.04.2009, 23:17

Hallo,
vor 2 Monaten hatte ich mir einen Trojan.DNSChanger eingefangen. Nachdem der Befund klar war, hatte ich nicht lange gefackelt und Neuaufgesetzt.
Jetzt findet jedoch das "MS Windows-Tool zum Entfernen bösartiger Software" einen Trojan:Win32/Alureon!inf und meldet "entfernt". Das Log-file hierzu konnte ich nicht finden, um festzustellen welche Datei betroffen ist.
Der Scan mit SUPERAntiSpyware hat auf meiner Fotospeicherkarte D:\ den Rootkit.Agent/Gen-WinLog D:\RESYCLED\BOOT.COM gefunden und unter Quartantäne gestellt.
Auffälligkeiten hatte ich bisher keine auf meinem System bemerkt.

Sonstige bisherige Aktionen:
-Scan mit MBR.EXE
-Scan mit Gmer

1.Malwarebytes-Anti-Malware-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2002
Windows 5.1.2600 Service Pack 3

19.04.2009 00:24:02
mbam-log-2009-04-19 (00-24-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 142166
Laufzeit: 24 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2. HJT-Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:52, on 20.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe
C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe
C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe
C:\Programme\DellTPad\Apoint.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\AESTFltr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AutoHotkey\Q-DIR_EXPLORER.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DellControlPoint] "C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe"
O4 - HKLM\..\Run: [DellConnectionManager] "C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Startup: Verknüpfung mit Q-DIR_EXPLORER.lnk = C:\Programme\AutoHotkey\Q-DIR_EXPLORER.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://www.slysoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Smith Micro Connection Manager Service (SMManager) - Smith Micro Software, Inc. - C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 6612 bytes

3.Software:

Code:

ATTFilter

Adobe After Effects 6.0
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Illustrator CS
Adobe Photoshop CS
Adobe Premiere Pro
Adobe Reader 9.1 - Deutsch
Adobe SVG Viewer 3.0
AnyDVD
Apple Software Update
AutoHotkey 1.0.48.00
BootSkin
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP Navigator EX 1.1
Canon MX850 series
Canon MX850 series Benutzerregistrierung
Canon My Printer
Canon Utilities Easy-PhotoPrint EX
Canon Utilities Solution Menu
CCleaner (remove only)
CDBurnerXP
Chaoscope 0.3.1
CloneDVD2
Dell ControlPoint Connection Manager
Dell ControlPoint System Manager
Dell Resource CD
Dell Touchpad
Dell Webcam Central
DH Driver Cleaner Professional Edition
Dienstprogramm für Dell Wireless WLAN Karte
FastStone Image Viewer 3.7
Google Earth
Google SketchUp 6
Google SketchUp 6
Google Update Helper
grandMA 3D 6
grandMA onPC 6.000
grandMA video  
GroBoto Demo
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
IBModeler 2.0
IDT Audio
Integrated Webcam Driver (1.02.02.0603)  
Intel(R) Network Connections 13.0.42.0
Java(TM) 6 Update 13
Malwarebytes' Anti-Malware
Mein Büro 2008
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

Vielen Dank für Hilfe

**Sunny** · 22.04.2009, 14:51

Hallo Heinz_Peter und

GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Heinz_Peter · 22.04.2009, 16:51

GMER-Logfile vom 18.04.:

Code:

ATTFilter

GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-04-18 00:04:34
Windows 5.1.2600 Service Pack 3


---- Kernel code sections - GMER 1.0.15 ----

?        C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys                                                                                                                                                            Das System kann die angegebene Datei nicht finden. !
---- Processes - GMER 1.0.15 ----

Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe [796]              0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe [804]    0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\msvcm80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe [804]    0x7C4C0000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\System32\WLTRYSVC.EXE [1548]                                      0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\System32\bcmwltry.exe [1560]                                      0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll (*** hidden *** ) @ C:\WINDOWS\System32\bcmwltry.exe [1560]                                      0x7C420000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [1968]  0x7C420000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [1968]  0x78130000                                            
Library  C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll (*** hidden *** ) @ C:\Programme\Java\jre6\bin\jqs.exe [2380]                                    0x78130000                                            

---- EOF - GMER 1.0.15 ----

GMER-Logfile von gerade eben:

Code:

ATTFilter

GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-04-22 17:41:17
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs              
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000

---- EOF - GMER 1.0.15 ----

CCleaner lasse ich gleich nocheinmal laufen und mache mich dann an ComboFix

Schon einmal vielen Dank für die Hilfe

Heinz_Peter · 22.04.2009, 17:37

Ok.
Ich habe ComboFix gestartet. Dann wurde ein DellControlManager-Prozess beendet. "Dell.UCM.exe hat ein Problem festgestellt und muss beendet werden."
ComboFix ist durchgelaufen, jedoch lief als Prozess immer noch der TeaTimer im Hintergrund und hat am Ende Änderungen an der Reg gemeldet.

Code:

ATTFilter

Aktuelle Datei: 

Datenbank-Status: Nicht benötigt - Viren, Spyware, Malware oder sonstiges Unnötiges
Wert: 
Dateiname: system32.exe

Beschreibung
Added by the _AGOBOT-KU_ WORM! Note - has a blank entry under the Startup Item/Name field

Quelle: Paul Collins Startup list

Da hatte ich intuitiv auf Ablehen gedrückt. Alle anderen auf Ok.
Sollte ich nun ComboFix nochmals starten?

ComboFix-Log:

Code:

ATTFilter

ComboFix 09-04-22.A23 - *** 22.04.2009 18:11.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3572.3122 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
 ADS - WINDOWS: deleted 72 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\3E4E800A25.dll
c:\windows\system32\626F0B497C.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-03-22 bis 2009-04-22  ))))))))))))))))))))))))))))))
.

2009-04-20 14:25 . 2009-04-20 14:25	73728	----a-w	c:\windows\system32\javacpl.cpl
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-18 21:06 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-18 21:06 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 21:12 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll
2009-04-17 21:09 . 2009-04-18 18:37	--------	d-----w	c:\windows\system32\XPSViewer
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	C:\a043e8d0aff4795696
2009-04-17 21:09 . 2008-07-06 12:06	89088	-c----w	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	-c----w	c:\windows\system32\dllcache\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	------w	c:\windows\system32\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	-c----w	c:\windows\system32\dllcache\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	117760	------w	c:\windows\system32\prntvpt.dll
2009-04-17 21:09 . 2008-07-06 10:50	597504	-c----w	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-17 21:09 . 2009-04-17 22:59	--------	d-----w	c:\windows\SxsCaPendDel
2009-04-17 00:25 . 2009-04-17 00:25	118	----a-w	c:\windows\system32\MRT.INI
2009-04-15 21:40 . 2009-04-15 21:40	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\My Games
2009-04-13 11:38 . 2009-04-14 10:27	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Braid
2009-04-10 00:40 . 2009-04-10 00:40	103744	----a-w	c:\windows\system32\drivers\AnyDVD.sys
2009-03-24 11:03 . 2009-03-24 11:03	7808	----a-w	c:\windows\system32\drivers\psi_mf.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 15:52 . 2009-01-24 21:45	--------	d-----w	c:\programme\CCleaner
2009-04-20 21:26 . 2009-01-19 21:55	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Q-Dir
2009-04-20 19:14 . 2009-02-20 19:39	--------	d-----w	c:\programme\Tools
2009-04-20 14:25 . 2009-03-16 20:00	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-20 14:25 . 2009-01-16 22:13	--------	d-----w	c:\programme\Java
2009-04-20 14:25 . 2008-04-14 12:00	80306	----a-w	c:\windows\system32\perfc007.dat
2009-04-20 14:25 . 2008-04-14 12:00	449044	----a-w	c:\windows\system32\perfh007.dat
2009-04-20 14:18 . 2009-04-20 14:18	--------	d-----w	c:\programme\Secunia
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-18 18:51 . 2009-04-17 23:02	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-04-18 18:51 . 2009-04-18 18:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-17 22:59 . 2009-01-16 22:08	16504	----a-w	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-17 22:56 . 2009-01-24 22:26	--------	d-----w	c:\programme\spiele
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\MSBuild
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\Reference Assemblies
2009-04-15 21:41 . 2009-03-11 22:28	102858	----a-w	c:\windows\system32\nvModes.dat
2009-04-15 21:34 . 2009-01-16 21:05	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-09 20:36 . 2009-01-20 21:50	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2009-03-28 13:05 . 2009-03-28 13:05	--------	d-----w	c:\programme\ProtectDisc Driver Installer
2009-03-27 21:43 . 2009-03-16 16:04	--------	d-----w	c:\programme\IBModeler
2009-03-21 18:12 . 2009-03-21 17:22	--------	d-----w	c:\programme\Mozilla Thunderbird
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird
2009-03-16 16:05 . 2009-03-16 16:05	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Protexis
2009-03-16 13:28 . 2009-01-17 10:57	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 22:05 . 2009-02-03 15:00	--------	d-----w	c:\programme\DataDesign
2009-03-13 14:26 . 2009-02-27 21:06	--------	d-----w	c:\programme\ArtOfIllusion
2009-03-11 22:32 . 2009-03-11 22:32	--------	d-----w	c:\programme\Dell Webcam
2009-03-11 22:32 . 2009-02-22 23:11	--------	d-----w	c:\programme\QuickTime
2009-03-11 22:32 . 2009-02-03 16:20	--------	d-----w	c:\programme\Google
2009-03-11 22:32 . 2009-01-16 21:04	--------	d-----w	c:\programme\Dell
2009-02-23 10:08 . 2009-01-16 21:05	3514368	----a-w	c:\windows\system32\stlang.dll
2009-02-23 10:08 . 2009-01-16 21:05	471138	----a-w	c:\windows\system32\stacapi.dll
2009-02-23 10:08 . 2009-01-16 21:05	1545795	----a-w	c:\windows\system32\drivers\sthda.sys
2009-02-22 23:11 . 2009-01-22 22:33	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\programme\Apple Software Update
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-02-22 01:39 . 2009-02-22 01:39	--------	d-----w	c:\programme\Braid Art Labs
2009-02-20 16:49 . 2008-04-14 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33	89256	----a-w	c:\windows\system32\ElbyCDIO.dll
2009-02-16 22:12 . 2009-02-16 22:12	151552	----a-w	c:\windows\system32\nvRegDev.dll
2009-02-09 14:04 . 2008-04-14 12:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-04-14 07:30	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2008-04-14 12:00	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2008-04-14 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-04-14 12:00	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2008-04-14 12:00	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2008-04-14 12:00	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2008-04-14 12:00	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2008-04-14 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 12:00	56832	----a-w	c:\windows\system32\secur32.dll
2009-02-03 15:00 . 2009-02-03 14:19	658432	----a-w	c:\windows\fpuninst.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellControlPoint"="c:\programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2008-05-30 593920]
"DellConnectionManager"="c:\programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe" [2008-09-09 1486848]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-04-30 196608]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-16 13537280]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"Dell Webcam Central"="c:\programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-20 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-16 1630208]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2008-09-16 90112]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2008-09-16 86016]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-3-24 748840]
Verknpfung mit Q-DIR_EXPLORER.lnk - c:\programme\AutoHotkey\Q-DIR_EXPLORER.exe [2009-2-26 206565]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY.exe
"Apoint"=c:\programme\DellTPad\Apoint.exe
"AESTFltr"=%SystemRoot%\system32\AESTFltr.exe /NoDlg

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA 3D 6\\grandMA3D.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA video\\grandMAVideo.exe"=
"c:\\vvvv_40beta20\\vvvv.exe"=

R0 cerc6;cerc6; [x]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
R3 MaplomL;MaplomL; [x]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\Drivers\OA001Afx.sys [2007-06-08 148056]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R4 gupdate1c9861bd65c290b;Google Update Service (gupdate1c9861bd65c290b);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
R4 WeOnlyDo wodAppUpdate Service;WeOnlyDo wodAppUpdate Service;c:\programme\Braid Art Labs\GroBoto Demo\bin\wodUpdSv.exe [2008-05-13 28144]
S0 BootScreen;BootScreen; [x]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 buttonsvc32;Dell ControlPoint Button Service;c:\programme\Dell\Dell ControlPoint\DCPButtonSvc.exe [2008-06-03 386328]
S2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [2008-08-18 455960]
S2 SMManager;Smith Micro Connection Manager Service;c:\programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [2008-09-09 69632]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2008-12-16 112512]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y5132.sys [2008-04-04 244368]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-06-03 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-05-13 277504]

.
Inhalt des "geplante Tasks" Ordners

2009-04-22 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 16:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: secunia.com\psi
Trusted Zone: slysoft.com\www
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y6hqfvf3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/search?q=mouse+eingabe+multiscreen&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|h**p://vvvv.org/tiki-index.php?page=How+To+Project+On+3D+Geometry&highlight=%22value%20input%22%20problem
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-04-22 18:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
.
Zeit der Fertigstellung: 2009-04-22 18:13
ComboFix-quarantined-files.txt  2009-04-22 16:13

Vor Suchlauf: 20 Verzeichnis(se), 224.297.721.856 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 224.286.822.400 Bytes frei

196	--- E O F ---	2009-04-19 01:00

Da bin ich ja mal auf die Auswertung gespannt.

**Sunny** · 22.04.2009, 18:11

Stand nicht in der Anleitung zu Combofix folgender Satz?!

Zitat:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Bitte lade dir Combofix nochmal neu herunter und starte es!

Und bitte gib nochmal den genauen Pfad an wo der Trojaner gefunden wird!

Also z.B. c:\windows\trojaner.exe

Heinz_Peter · 22.04.2009, 19:14

Ich habe ComboFix erneut heruntergeladen.
Genauso wie beim ersten Mal alle Programme und Browser geschlossen. TeaTimer.exe beendet.
Doch nachdem das Log-file angezeigt wird ist der TeaTimer wieder am Start und fragt nach Ablehnen oder Zulassen.
Soll ich Spybot komplett deinstallieren?

neues ComboFix-Log

Code:

ATTFilter

ComboFix 09-04-23.02 - *** 22.04.2009 19:19.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3572.3099 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-23 bis 2009-04-23  ))))))))))))))))))))))))))))))
.

2009-04-20 14:25 . 2009-04-20 14:25	73728	----a-w	c:\windows\system32\javacpl.cpl
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-18 21:06 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-18 21:06 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 23:02 . 2009-04-17 23:02	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-17 21:12 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll
2009-04-17 21:09 . 2009-04-18 18:37	--------	d-----w	c:\windows\system32\XPSViewer
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	C:\a043e8d0aff4795696
2009-04-17 21:09 . 2008-07-06 12:06	89088	-c----w	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	-c----w	c:\windows\system32\dllcache\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	575488	------w	c:\windows\system32\xpsshhdr.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	-c----w	c:\windows\system32\dllcache\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\xpssvcs.dll
2009-04-17 21:09 . 2008-07-06 12:06	117760	------w	c:\windows\system32\prntvpt.dll
2009-04-17 21:09 . 2008-07-06 10:50	597504	-c----w	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-17 21:09 . 2009-04-17 22:59	--------	d-----w	c:\windows\SxsCaPendDel
2009-04-17 00:25 . 2009-04-17 00:25	118	----a-w	c:\windows\system32\MRT.INI
2009-04-15 21:40 . 2009-04-15 21:40	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\My Games
2009-04-13 11:38 . 2009-04-14 10:27	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Braid
2009-04-10 00:40 . 2009-04-10 00:40	103744	----a-w	c:\windows\system32\drivers\AnyDVD.sys
2009-03-24 11:03 . 2009-03-24 11:03	7808	----a-w	c:\windows\system32\drivers\psi_mf.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 15:52 . 2009-01-24 21:45	--------	d-----w	c:\programme\CCleaner
2009-04-20 21:26 . 2009-01-19 21:55	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Q-Dir
2009-04-20 19:14 . 2009-02-20 19:39	--------	d-----w	c:\programme\Tools
2009-04-20 14:25 . 2009-03-16 20:00	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-20 14:25 . 2009-01-16 22:13	--------	d-----w	c:\programme\Java
2009-04-20 14:25 . 2008-04-14 12:00	80306	----a-w	c:\windows\system32\perfc007.dat
2009-04-20 14:25 . 2008-04-14 12:00	449044	----a-w	c:\windows\system32\perfh007.dat
2009-04-20 14:18 . 2009-04-20 14:18	--------	d-----w	c:\programme\Secunia
2009-04-18 21:06 . 2009-04-18 21:06	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-18 18:51 . 2009-04-17 23:02	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-04-18 18:51 . 2009-04-18 18:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-17 22:59 . 2009-01-16 22:08	16504	----a-w	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-17 22:56 . 2009-01-24 22:26	--------	d-----w	c:\programme\spiele
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\MSBuild
2009-04-17 21:09 . 2009-04-17 21:09	--------	d-----w	c:\programme\Reference Assemblies
2009-04-15 21:41 . 2009-03-11 22:28	102858	----a-w	c:\windows\system32\nvModes.dat
2009-04-15 21:34 . 2009-01-16 21:05	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-09 20:36 . 2009-01-20 21:50	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2009-03-28 13:05 . 2009-03-28 13:05	--------	d-----w	c:\programme\ProtectDisc Driver Installer
2009-03-27 21:43 . 2009-03-16 16:04	--------	d-----w	c:\programme\IBModeler
2009-03-21 18:12 . 2009-03-21 17:22	--------	d-----w	c:\programme\Mozilla Thunderbird
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Talkback
2009-03-21 17:22 . 2009-03-21 17:22	--------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird
2009-03-16 16:05 . 2009-03-16 16:05	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Protexis
2009-03-16 13:28 . 2009-01-17 10:57	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 22:05 . 2009-02-03 15:00	--------	d-----w	c:\programme\DataDesign
2009-03-13 14:26 . 2009-02-27 21:06	--------	d-----w	c:\programme\ArtOfIllusion
2009-03-11 22:32 . 2009-03-11 22:32	--------	d-----w	c:\programme\Dell Webcam
2009-03-11 22:32 . 2009-02-22 23:11	--------	d-----w	c:\programme\QuickTime
2009-03-11 22:32 . 2009-02-03 16:20	--------	d-----w	c:\programme\Google
2009-03-11 22:32 . 2009-01-16 21:04	--------	d-----w	c:\programme\Dell
2009-02-23 10:08 . 2009-01-16 21:05	3514368	----a-w	c:\windows\system32\stlang.dll
2009-02-23 10:08 . 2009-01-16 21:05	471138	----a-w	c:\windows\system32\stacapi.dll
2009-02-23 10:08 . 2009-01-16 21:05	1545795	----a-w	c:\windows\system32\drivers\sthda.sys
2009-02-22 23:11 . 2009-01-22 22:33	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\programme\Apple Software Update
2009-02-22 23:10 . 2009-02-22 23:10	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-02-22 01:39 . 2009-02-22 01:39	--------	d-----w	c:\programme\Braid Art Labs
2009-02-20 16:49 . 2008-04-14 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33	89256	----a-w	c:\windows\system32\ElbyCDIO.dll
2009-02-16 22:12 . 2009-02-16 22:12	151552	----a-w	c:\windows\system32\nvRegDev.dll
2009-02-09 14:04 . 2008-04-14 12:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-04-14 07:30	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2008-04-14 12:00	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2008-04-14 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2008-04-14 12:00	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2008-04-14 12:00	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2008-04-14 12:00	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2008-04-14 12:00	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2008-04-14 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 12:00	56832	----a-w	c:\windows\system32\secur32.dll
2009-02-03 15:00 . 2009-02-03 14:19	658432	----a-w	c:\windows\fpuninst.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellControlPoint"="c:\programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2008-05-30 593920]
"DellConnectionManager"="c:\programme\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe" [2008-09-09 1486848]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-04-30 196608]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-16 13537280]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"Dell Webcam Central"="c:\programme\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-20 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-16 1630208]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2008-09-16 90112]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2008-09-16 86016]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2009-3-24 748840]
Verknpfung mit Q-DIR_EXPLORER.lnk - c:\programme\AutoHotkey\Q-DIR_EXPLORER.exe [2009-2-26 206565]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY.exe
"Apoint"=c:\programme\DellTPad\Apoint.exe
"AESTFltr"=%SystemRoot%\system32\AESTFltr.exe /NoDlg

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA 3D 6\\grandMA3D.exe"=
"c:\\Programme\\MA Lighting Technologies\\grandMA video\\grandMAVideo.exe"=
"c:\\vvvv_40beta20\\vvvv.exe"=

R0 cerc6;cerc6; [x]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
R3 MaplomL;MaplomL; [x]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\Drivers\OA001Afx.sys [2007-06-08 148056]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
R4 gupdate1c9861bd65c290b;Google Update Service (gupdate1c9861bd65c290b);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
R4 WeOnlyDo wodAppUpdate Service;WeOnlyDo wodAppUpdate Service;c:\programme\Braid Art Labs\GroBoto Demo\bin\wodUpdSv.exe [2008-05-13 28144]
S0 BootScreen;BootScreen; [x]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 buttonsvc32;Dell ControlPoint Button Service;c:\programme\Dell\Dell ControlPoint\DCPButtonSvc.exe [2008-06-03 386328]
S2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [2008-08-18 455960]
S2 SMManager;Smith Micro Connection Manager Service;c:\programme\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [2008-09-09 69632]
S3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2008-12-16 112512]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y5132.sys [2008-04-04 244368]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-06-03 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-05-13 277504]

.
Inhalt des "geplante Tasks" Ordners

2009-04-22 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 16:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: secunia.com\psi
Trusted Zone: slysoft.com\www
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y6hqfvf3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/search?q=mouse+eingabe+multiscreen&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|h**p://vvvv.org/tiki-index.php?page=How+To+Project+On+3D+Geometry&highlight=%22value%20input%22%20problem
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-04-22 19:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

- - - - - - - > 'explorer.exe'(2380)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-04-22 19:21
ComboFix-quarantined-files.txt  2009-04-22 17:21
ComboFix2.txt  2009-04-22 16:13

Vor Suchlauf: 20 Verzeichnis(se), 224.260.956.160 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 224.250.667.008 Bytes frei

195	--- E O F ---	2009-04-19 01:00

Heinz_Peter · 05.05.2009, 16:04

Wenn Du Dich in der Übersicht von "Plagegeister aller Art und deren Bekämpfung" befindest, ist links oben (bzw. links unten), dort wo im Thema der "ANTWORTEN"-Button liegt, der "NEUES THEMA"-Button.

Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"

Plagegeister aller Art und deren Bekämpfung: Trojan:Win32/Alureon!inf gefunden von "MS Windows-Tool zum Entfernen bösartiger Sw"