FrmWrk32.exe und co

Henko · 20.05.2009, 20:15

Hallo,

also ich hab zwischenzeitlich etwas recharchiert und folgendes in einem anderen Forum gefunden.
h**p://forum.chip.de/viren-trojaner-wuermer/usb-stick-virenbefall-mehr-erkannt-1166752.html
Derjenige hatte auch Vundo.H oder einen Subtyp und die selben Symptome, muss ich nun wirklich mein System neu aufsetzen?

Also der USB Stick wird im Gerätemanager erkannt sobald ich ihn einstecke auch nach deinstallieren, bei klicken auf "Hardware sicher entfernen" werden die Massenspeicher erkannt, aber es stehen keinerlei Laufwerksbuchstaben davor.
Mir ist noch etwas aufgefallen, wenn ich in die Datenträgerverwaltung gehe, wird nur das CD-Laufwerk angezeigt, nicht mal die Festplatte ist dort zusehen, geschweige denn der USB-Stick.

Anbei mal ein Screenshot

Hier das Log von Avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthykapmvgivcjikhbebdkbghjfrstowuyn" found!
ImagePath: \systemroot\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Start Type: 1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\lugibifi.exe" deleted successfully.
File "C:\WINDOWS\system32\kulufegi.exe" deleted successfully.
File "C:\WINDOWS\system32\kudatusa.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\wihuzomi.dll" not found!
Deletion of file "C:\WINDOWS\system32\wihuzomi.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|b48875f0" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Henko · 20.05.2009, 20:17

Und hier das Log aus RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Vahilor at 2009-05-20 21:17:02
Microsoft Windows XP Professional Service Pack 2
System drive C: has 28 GB (26%) free of 108 GB
Total RAM: 1022 MB (37% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:05, on 20.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Digital Line Detect\DLG.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloaded\avenger.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\TEMP\ze0g6foj4.exe
C:\WINDOWS\TEMP\ze0g6foj4.exe
C:\Downloaded\RSIT.exe
C:\Downloaded\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Vahilor.exe

O2 - BHO: C:\WINDOWS\system32\had732ufn8.dll - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\ze0g6foj4.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ??????P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: __c00A6048 - C:\WINDOWS\system32\__c00A6048.dat
O22 - SharedTaskScheduler: hasf8h3rfijfn98gf9iar - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8736 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6C7B2A1-00F3-42BD-F434-00AABA2C8953}]
C:\WINDOWS\system32\had732ufn8.dll - C:\WINDOWS\system32\had732ufn8.dll [2009-05-20 15000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - C:\PROGRA~1\ICQTOO~1\toolbaru.dll []
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - &Yahoo! Toolbar - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]
"SigmatelSysTrayApp"=C:\WINDOWS\stsystra.exe [2006-03-25 282624]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-08 761947]
"Dell QuickSet"=C:\Programme\Dell\QuickSet\quickset.exe [2006-08-03 1032192]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-05-01 667718]
"IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-05-01 602182]
"CTSVolFE.exe"=C:\Programme\Creative\Mixer\CTSVolFE.exe [2005-02-23 57344]
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184]
"ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920]
"Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2006-12-16 169984]
"PCMService"=C:\Programme\Dell\MediaDirect\PCMService.exe [2006-08-22 184320]
"Corel Photo Downloader"=C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe [2006-08-14 462336]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"DLCFCATS"=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16 []
"ScanRegistry"=C:\W []
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-06-01 185784]
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2005-05-31 122941]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2007-06-29 286720]
"MSKDetectorExe"=C:\Programme\McAfee\SpamKiller\MSKDetct.exe [2006-11-07 1121280]
"FreePDFAssistent"=C:\Programme\FreePDF\FreePDFA.exe [2003-12-24 150528]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2009-05-17 206088]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-10 15360]
"MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Dell Network Assistant.lnk - C:\WINDOWS\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="??????P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-05-23 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00A6048]
C:\WINDOWS\system32\__c00A6048.dat [2009-05-20 28160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
hasf8h3rfijfn98gf9iar - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll [2009-05-20 15000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=C:\WINDOWS\system32\fahokipa.dll

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=30000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSetActiveDesktop"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Dell\MediaDirect\PCMService.exe"="C:\Programme\Dell\MediaDirect\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WoW\BackgroundDownloader.exe"="C:\WoW\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\Dell Network Assistant\ezi_hnm2.exe"="C:\Programme\Dell Network Assistant\ezi_hnm2.exe:*:Enabled

ell Network Assistant"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - b3537ca0\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - b3537ca0\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - bb6f27b8\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - bb6f27b8\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - e0aeb548\Launcher.exe"="C:\Dokumente und Einstellungen\Vahilor\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - e0aeb548\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\Launcher.exe"="C:\WoW\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"="C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WINDOWS\system32\winlogon.exe"="C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon"
"C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Enabled:avp"
"C:\Programme\Intel\Wireless\Bin\S24EvMon.exe"="C:\Programme\Intel\Wireless\Bin\S24EvMon.exe:*:Enabled:S24EvMon"
"C:\WINDOWS\system32\lsass.exe"="C:\WINDOWS\system32\lsass.exe:*:Enabled:lsass"
"C:\Programme\McAfee.com\Personal Firewall\MpfService.exe"="C:\Programme\McAfee.com\Personal Firewall\MpfService.exe:*:Enabled:MpfService"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Henko · 20.05.2009, 20:19

======List of files/folders created in the last 1 months======

2009-05-20 21:16:50 ----A---- C:\WINDOWS\system32\p2hhr.bat
2009-05-20 21:16:45 ----A---- C:\WINDOWS\system32\had732ufn8.dll
2009-05-20 21:16:45 ----A---- C:\WINDOWS\system32\ak1.exe
2009-05-20 21:01:01 ----D---- C:\Avenger
2009-05-20 21:01:01 ----A---- C:\avenger.txt
2009-05-20 20:54:06 ----A---- C:\WINDOWS\system32\glsetup.exe
2009-05-17 21:53:52 ----D---- C:\Daten
2009-05-17 13:43:30 ----D---- C:\Programme\Kaspersky Lab
2009-05-17 13:43:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-05-17 13:30:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-05-17 12:59:29 ----A---- C:\WINDOWS\system32\TweakUI.exe
2009-05-16 17:23:48 ----D---- C:\rsit
2009-05-16 13:47:02 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\Malwarebytes
2009-05-16 13:46:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-16 13:46:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-16 13:03:19 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2009-05-16 12:59:10 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-16 11:05:20 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-16 01:39:14 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\restart.txt
2009-05-16 00:57:05 ----D---- C:\Programme\Trend Micro
2009-05-16 00:51:10 ----D---- C:\Programme\Windows Live Safety Center
2009-05-16 00:39:41 ----A---- C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
2009-05-15 23:22:00 ----D---- C:\Programme\AntiVir PersonalEdition Classic

======List of files/folders modified in the last 1 months======

2009-05-20 21:16:50 ----D---- C:\WINDOWS\Temp
2009-05-20 21:16:50 ----D---- C:\WINDOWS\system32
2009-05-20 21:03:23 ----D---- C:\Programme\Mozilla Firefox
2009-05-20 21:02:32 ----D---- C:\WINDOWS
2009-05-20 21:02:24 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-20 21:02:01 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-20 21:01:56 ----D---- C:\WINDOWS\Registration
2009-05-20 21:01:01 ----RD---- C:\Programme
2009-05-20 21:01:01 ----D---- C:\WINDOWS\system32\drivers
2009-05-20 20:59:20 ----D---- C:\Downloaded
2009-05-17 23:58:06 ----D---- C:\WINDOWS\Prefetch
2009-05-17 21:51:18 ----D---- C:\MDT
2009-05-17 21:51:01 ----SHD---- C:\WINDOWS\CSC
2009-05-17 16:53:23 ----HD---- C:\Programme\InstallShield Installation Information
2009-05-17 13:45:10 ----SHD---- C:\WINDOWS\Installer
2009-05-17 13:44:26 ----HD---- C:\WINDOWS\inf
2009-05-17 13:37:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-05-17 13:37:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-16 22:05:26 ----D---- C:\WoW
2009-05-16 20:25:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee.com
2009-05-16 18:12:31 ----D---- C:\Programme\Avira
2009-05-16 18:12:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-05-16 18:11:25 ----D---- C:\WINDOWS\WinSxS
2009-05-16 17:23:11 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-16 16:58:50 ----A---- C:\WINDOWS\wininit.ini
2009-05-16 11:03:05 ----D---- C:\WINDOWS\system32\Restore
2009-05-16 01:08:47 ----D---- C:\WINDOWS\Debug
2009-05-16 00:16:59 ----D---- C:\WINDOWS\system32\dllcache
2009-05-15 16:58:53 ----D---- C:\Programme\ICQToolbar
2009-05-15 16:36:56 ----D---- C:\Programme\mIRC
2009-05-10 21:03:47 ----D---- C:\Programme\Dl_cats
2009-04-29 19:33:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\WordToPDF
2009-04-29 19:25:42 ----D---- C:\Programme\FreePDF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 APPDRV;APPDRV; C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS [2005-08-12 16128]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-10 40192]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-05-17 226832]
R1 omci;OMCI WDM Device Driver; C:\WINDOWS\system32\DRIVERS\omci.sys [2004-02-13 17153]
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2005-05-13 5627]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2005-05-13 23545]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-04 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-10 12032]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-12-16 21275]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2005-04-21 40544]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-05-01 13568]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2005-05-31 25725]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2005-05-31 34845]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2005-05-31 4125]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2005-05-31 2273]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2005-05-31 86876]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2005-05-31 15069]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2005-05-31 6365]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2005-05-31 98716]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2005-05-31 100605]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-10 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-23 1578496]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2006-08-25 44544]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-08-12 137728]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-07-22 1035008]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-07-22 201600]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-10 61824]
R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-10-14 28544]
R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-10-14 51328]
R3 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2005-10-14 307968]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-10 67584]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2006-03-25 1156648]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-08 191872]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2005-10-26 27264]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-27 1429632]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-07-22 717952]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 DSproct;DSproct; \??\C:\Programme\Dell Support\GTAction\triggers\DSproct.sys []
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 ZSMC301b;WEBSHOT II USB CAM 300K; C:\WINDOWS\System32\Drivers\usbVM31b.sys [2004-03-03 90534]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2004-08-04 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2004-08-04 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2004-08-04 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2004-08-04 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2004-08-04 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2004-08-04 41088]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-10 73472]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2004-08-04 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-23 409600]
R2 AVP;Kaspersky Anti-Virus; C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2009-05-17 206088]
R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2005-12-15 237568]
R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912]
R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-05-01 114753]
R2 hnmsvc;Advanced Networking Service; C:\Programme\Dell Network Assistant\hnm_svc.exe [2007-08-27 111912]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-05-01 217164]
R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-05-01 540745]
R2 WLANKEEPER;Intel(R) PROSet/Wireless SSO Service; C:\Programme\Intel\Wireless\Bin\WLKeeper.exe [2006-05-01 262217]
S02000000 OMSCAN;OMSCAN; \Sys []
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-10 268800]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 dlcf_device;dlcf_device; C:\WINDOWS\system32\dlcfcoms.exe [2005-09-29 491520]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2004-08-10 14336]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-04 38912]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]

-----------------EOF-----------------

Andere USB-Sticks funktionieren auch nicht, CDs hingegen können gelesen werden.

Danke
Henko

myrtille · 21.05.2009, 00:20

Hi,

ja da scheint noch mehr im argen zu sein. Lass mal bitte noch rootrepeal laufen.

Schließe davor bitte alle Programme.

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

lg myrtille

Henko · 21.05.2009, 12:11

Hallo,

also irgendwie hat sich die Lage nicht gebessert, nachdem ich eine Stunde im Inet war mit dem PC hat MAM wieder einige Trojaner entdeckt. die in /system32/ lagen. Antivir findet immer 6 Datein mit dem namen ovfst....., kann diese aber nicht entfernen, auch nach einem neustart nicht. Ich habe gesehen dass diese Datein auch in dem folgenden Protokoll von "RootRepeal" vermerkt sind.

ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time: 2009/05/21 13:02
Program Version: Version 1.2.3.0
Windows Version: Windows XP Media Center Edition SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF170F000 Size: 98304 File Visible: No
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AA8000 Size: 8192 File Visible: No
Status: -

Name: ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Image Path: C:\WINDOWS\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Address: 0xF19A3000 Size: 180224 File Visible: -
Status: Hidden from Windows API!

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEDD20000 Size: 45056 File Visible: No
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\WINDOWS\system32\ovfsthbgvjowoeapfkehjbolfbuxcxilvgvjnr.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthctlfmvswamxjctnfjgnrhpbptmwgqtvm.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthnakkkaxqqyxhjdfemcdakwklpagpljnj.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthrqrvvjglxisqrxwphtgfcbtojonoskbi.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthsuphovsappxvyfrtxqovlplalkbgqyll.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ovfsthfkiwtibcor.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ovfsthivsuoyymsc.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\ovfsthngthqfioid.tmp
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000003_events.dat
Status: Size mismatch (API: 90592, Raw: 90522)

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\00000001_events.dat
Status: Allocation size mismatch (API: 552, Raw: 472)

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\54\54-{69C80F80-8212-4783-8365-1A18FEEF760A}-v54-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v54-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\00\92-{69C80F80-8212-4783-8365-1A18FEEF760A}-v100-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v92-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\01\10-{B6036E48-94D4-6667-C08F-251CF5C10781}-v1-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v10-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\01\93-{69C80F80-8212-4783-8365-1A18FEEF760A}-v101-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v93-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\02\94-{69C80F80-8212-4783-8365-1A18FEEF760A}-v102-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v94-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\03\95-{69C80F80-8212-4783-8365-1A18FEEF760A}-v103-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v95-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\04\107-{69C80F80-8212-4783-8365-1A18FEEF760A}-v104-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v107-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\05\106-{69C80F80-8212-4783-8365-1A18FEEF760A}-v105-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v106-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\06\104-{69C80F80-8212-4783-8365-1A18FEEF760A}-v106-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v104-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\07\105-{69C80F80-8212-4783-8365-1A18FEEF760A}-v107-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v105-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\08\31-{69C80F80-8212-4783-8365-1A18FEEF760A}-v108-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v31-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\09\32-{69C80F80-8212-4783-8365-1A18FEEF760A}-v109-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v32-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\33\33-{69C80F80-8212-4783-8365-1A18FEEF760A}-v33-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v33-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\34\34-{69C80F80-8212-4783-8365-1A18FEEF760A}-v34-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v34-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\35\35-{69C80F80-8212-4783-8365-1A18FEEF760A}-v35-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v35-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\36\36-{69C80F80-8212-4783-8365-1A18FEEF760A}-v36-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v36-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\37\37-{69C80F80-8212-4783-8365-1A18FEEF760A}-v37-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v37-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\38\38-{69C80F80-8212-4783-8365-1A18FEEF760A}-v38-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v38-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\39\39-{69C80F80-8212-4783-8365-1A18FEEF760A}-v39-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v39-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\40\40-{69C80F80-8212-4783-8365-1A18FEEF760A}-v40-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v40-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\41\41-{69C80F80-8212-4783-8365-1A18FEEF760A}-v41-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v41-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\42\42-{69C80F80-8212-4783-8365-1A18FEEF760A}-v42-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v42-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\43\43-{69C80F80-8212-4783-8365-1A18FEEF760A}-v43-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v43-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\44\44-{69C80F80-8212-4783-8365-1A18FEEF760A}-v44-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v44-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\45\45-{69C80F80-8212-4783-8365-1A18FEEF760A}-v45-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v45-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\46\46-{69C80F80-8212-4783-8365-1A18FEEF760A}-v46-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v46-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\47\47-{69C80F80-8212-4783-8365-1A18FEEF760A}-v47-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v47-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\48\48-{69C80F80-8212-4783-8365-1A18FEEF760A}-v48-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v48-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\49\49-{69C80F80-8212-4783-8365-1A18FEEF760A}-v49-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v49-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\50\50-{69C80F80-8212-4783-8365-1A18FEEF760A}-v50-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v50-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\51\51-{69C80F80-8212-4783-8365-1A18FEEF760A}-v51-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v51-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\52\52-{69C80F80-8212-4783-8365-1A18FEEF760A}-v52-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v52-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\53\53-{69C80F80-8212-4783-8365-1A18FEEF760A}-v53-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v53-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\55\55-{69C80F80-8212-4783-8365-1A18FEEF760A}-v55-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v55-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\56\56-{69C80F80-8212-4783-8365-1A18FEEF760A}-v56-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v56-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\57\57-{69C80F80-8212-4783-8365-1A18FEEF760A}-v57-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v57-Downloaded.frx
Status: Locked to the Windows API!

Henko · 21.05.2009, 12:13

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\58\58-{69C80F80-8212-4783-8365-1A18FEEF760A}-v58-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v58-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\59\59-{69C80F80-8212-4783-8365-1A18FEEF760A}-v59-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v59-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\60\60-{69C80F80-8212-4783-8365-1A18FEEF760A}-v60-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v60-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\61\61-{69C80F80-8212-4783-8365-1A18FEEF760A}-v61-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v61-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\62\62-{69C80F80-8212-4783-8365-1A18FEEF760A}-v62-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v62-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\63\63-{69C80F80-8212-4783-8365-1A18FEEF760A}-v63-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v63-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\64\64-{69C80F80-8212-4783-8365-1A18FEEF760A}-v64-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v64-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\65\65-{69C80F80-8212-4783-8365-1A18FEEF760A}-v65-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v65-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\66\66-{69C80F80-8212-4783-8365-1A18FEEF760A}-v66-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v66-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\67\67-{69C80F80-8212-4783-8365-1A18FEEF760A}-v67-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v67-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\68\68-{69C80F80-8212-4783-8365-1A18FEEF760A}-v68-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v68-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\69\69-{69C80F80-8212-4783-8365-1A18FEEF760A}-v69-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v69-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\70\70-{69C80F80-8212-4783-8365-1A18FEEF760A}-v70-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v70-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\71\71-{69C80F80-8212-4783-8365-1A18FEEF760A}-v71-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v71-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\72\72-{69C80F80-8212-4783-8365-1A18FEEF760A}-v72-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v72-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\73\73-{69C80F80-8212-4783-8365-1A18FEEF760A}-v73-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v73-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\74\74-{69C80F80-8212-4783-8365-1A18FEEF760A}-v74-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v74-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\75\75-{69C80F80-8212-4783-8365-1A18FEEF760A}-v75-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v75-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\76\76-{69C80F80-8212-4783-8365-1A18FEEF760A}-v76-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v76-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\77\77-{69C80F80-8212-4783-8365-1A18FEEF760A}-v77-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v77-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\78\78-{69C80F80-8212-4783-8365-1A18FEEF760A}-v78-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v78-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\79\79-{69C80F80-8212-4783-8365-1A18FEEF760A}-v79-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v79-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\80\80-{69C80F80-8212-4783-8365-1A18FEEF760A}-v80-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v80-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\81\81-{69C80F80-8212-4783-8365-1A18FEEF760A}-v81-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v81-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\82\96-{69C80F80-8212-4783-8365-1A18FEEF760A}-v82-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v96-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\83\97-{69C80F80-8212-4783-8365-1A18FEEF760A}-v83-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v97-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\84\98-{69C80F80-8212-4783-8365-1A18FEEF760A}-v84-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v98-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\85\99-{69C80F80-8212-4783-8365-1A18FEEF760A}-v85-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v99-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\86\100-{69C80F80-8212-4783-8365-1A18FEEF760A}-v86-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v100-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\87\101-{69C80F80-8212-4783-8365-1A18FEEF760A}-v87-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v101-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\88\102-{69C80F80-8212-4783-8365-1A18FEEF760A}-v88-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v102-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\89\103-{69C80F80-8212-4783-8365-1A18FEEF760A}-v89-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v103-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\90\82-{69C80F80-8212-4783-8365-1A18FEEF760A}-v90-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v82-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\91\83-{69C80F80-8212-4783-8365-1A18FEEF760A}-v91-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v83-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\92\84-{69C80F80-8212-4783-8365-1A18FEEF760A}-v92-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v84-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\93\85-{69C80F80-8212-4783-8365-1A18FEEF760A}-v93-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v85-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\94\86-{69C80F80-8212-4783-8365-1A18FEEF760A}-v94-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v86-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\95\87-{69C80F80-8212-4783-8365-1A18FEEF760A}-v95-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v87-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\96\88-{69C80F80-8212-4783-8365-1A18FEEF760A}-v96-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v88-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@hotmail.com\SharingMetadata\*****honda@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\97\89-{69C80F80-8212-4783-8365-1A18FEEF760A}-v97-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v89-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente uStealth Objects
-------------------
Object: Hidden Module [Name: ovfsthctlfmvswamxjctnfjgnrhpbptmwgqtvm.dll]
Process: svchost.exe (PID: 1328) Address: 0x10000000 Size: 73728

Object: Hidden Module [Name: ovfsthrqrvvjglxisqrxwphtgfcbtojonoskbi.dll]
Process: Explorer.EXE (PID: 1836) Address: 0x10000000 Size: 24576

Hidden Services
-------------------
Service Name: ovfsthykapmvgivcjikhbebdkbghjfrstowuyn
Image Path: C:\WINDOWS\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys

Danke und Liebe Grüsse
Henko

Henko · 21.05.2009, 21:19

Hallo,

ich hab noch mehrmals probiert mit antivir die Datein zu löschen leider ohne Erfolg.
Hier mal das Log was ständig entsteht.

Code:

ATTFilter

Beginn des Suchlaufs: Donnerstag, 21. Mai 2009  22:08

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20090521-221333-9DD4F7AB.avp' geschrieben.
c:\windows\system32\drivers\ovfsthceyxnaqosblnohydtrgkjvmltbtktkbv.sys
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
c:\windows\system32\ovfsthbgvjowoeapfkehjbolfbuxcxilvgvjnr.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthctlfmvswamxjctnfjgnrhpbptmwgqtvm.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthnakkkaxqqyxhjdfemcdakwklpagpljnj.dat
    [INFO]      Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthrqrvvjglxisqrxwphtgfcbtojonoskbi.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthsuphovsappxvyfrtxqovlplalkbgqyll.dat
    [INFO]      Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\*****\lokale einstellungen\temp\ovfsthfkiwtibcor.tmp
    [INFO]      Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\*****\lokale einstellungen\temp\ovfsthivsuoyymsc.tmp
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Ist das Trojanische Pferd TR/TDss.ycp
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!
c:\dokumente und einstellungen\*****\lokale einstellungen\temp\ovfsthngthqfioid.tmp
    [INFO]      Die Datei ist nicht sichtbar.
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Neakse.JF
    [INFO]      Es konnte kein SpecVir-Eintrag gefunden werden!


Ende des Suchlaufs: Donnerstag, 21. Mai 2009  22:13
Benötigte Zeit: 04:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
      9 Dateien wurden geprüft
      6 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      3 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
  42310 Objekte wurden beim Rootkitscan durchsucht
     16 Versteckte Objekte wurden gefunden

MAM findet auch immer wieder neue Einträge sobald ich länger im Inet bin, was ich tunlichst versuche zu vermeiden.

Liebe Grüsse
Henko

myrtille · 22.05.2009, 10:19

Hi,

dann ists Zeit die großen Geschütze auszufahren.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

lg myrtille

Henko · 22.05.2009, 11:59

Hallo,

hatte gestern mal einige Threads durchforstet und mir "SUPERAntispy" nach d er Anleitung hier im Forum installiert und laufen lassen, nach einem neustart konnte plötzlich Antivir und MAM diese "ovfst....*.*" Dateien erkennen und auch löschen, nach einem Neustart konnte ich sogar in der Datenträgerverwaltung meine Festplatte wieder sehen und auch den USB Stick, direkt über Eingabe des Laufwerksbuchstaben auf ihn zugreifen. Im Arbeitsplatz konnte ich ihn leider noch nicht sehen, auch kein Autoplay.
Habe nun Combofix durchlaufen lassen und es hat wohl noch etwas mehr gebracht der USB Stick wurde sogar angezeigt. MAM und Antivir hatten keine Funde nach mehrmaligen ausführen mehr gezeigt. Werde diese aber noch einige Tage immer mal wieder bei online Verbindung laufen lassen.

Dennoch hier das Log aus Combofix

Code:

ATTFilter

ComboFix 09-05-21.01 - ***** 22.05.2009 12:36.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1022.457 [GMT 2:00]
ausgeführt von:: c:\downloaded\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\404Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://82.98.235.208
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASHEVTSVC


(((((((((((((((((((((((   Dateien erstellt von 2009-04-22 bis 2009-05-22  ))))))))))))))))))))))))))))))
.

2009-05-21 20:32 . 2009-05-21 20:32	136	----a-w	c:\windows\system32\vp_setup.exe.bat
2009-05-21 20:32 . 2009-05-21 20:32	61440	----a-w	c:\windows\system32\vp_setup.exe
2009-05-21 20:30 . 2009-05-22 10:41	117760	----a-w	c:\dokumente und einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-05-21 20:30 . 2009-05-21 20:30	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 20:30 . 2009-05-21 20:30	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-05-21 20:30 . 2009-05-21 20:30	--------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 20:29 . 2009-05-21 20:29	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-21 10:53 . 2009-03-06 13:59	286720	------w	c:\windows\system32\dllcache\pdh.dll
2009-05-21 10:53 . 2009-02-09 10:00	401408	------w	c:\windows\system32\dllcache\rpcss.dll
2009-05-21 10:53 . 2009-02-06 09:41	227840	------w	c:\windows\system32\dllcache\wmiprvse.exe
2009-05-21 10:53 . 2005-07-26 04:29	60416	------w	c:\windows\system32\dllcache\colbact.dll
2009-05-21 10:53 . 2009-02-09 10:00	740864	------w	c:\windows\system32\dllcache\ntdll.dll
2009-05-21 10:53 . 2009-02-09 10:00	678912	------w	c:\windows\system32\dllcache\advapi32.dll
2009-05-21 10:53 . 2009-02-09 10:00	473088	------w	c:\windows\system32\dllcache\fastprox.dll
2009-05-21 10:53 . 2009-02-09 09:48	111104	------w	c:\windows\system32\dllcache\services.exe
2009-05-21 10:53 . 2009-02-06 09:54	35328	------w	c:\windows\system32\dllcache\sc.exe
2009-05-21 10:41 . 2008-04-21 21:25	217600	------w	c:\windows\system32\dllcache\wordpad.exe
2009-05-17 19:53 . 2009-05-17 20:02	--------	d-----w	C:\Daten
2009-05-17 11:30 . 2009-05-17 11:30	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-05-17 10:59 . 2003-06-25 14:05	266360	----a-w	c:\windows\system32\TweakUI.exe
2009-05-16 16:12 . 2009-03-30 08:33	96104	----a-w	c:\windows\system32\drivers\avipbb.sys
2009-05-16 16:12 . 2009-03-24 14:08	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-05-16 16:12 . 2009-02-13 10:29	22360	----a-w	c:\windows\system32\drivers\avgntmgr.sys
2009-05-16 16:12 . 2009-02-13 10:17	45416	----a-w	c:\windows\system32\drivers\avgntdd.sys
2009-05-16 15:23 . 2009-05-16 15:24	--------	d-----w	C:\rsit
2009-05-16 14:00 . 2009-05-16 14:00	--------	d-----w	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-05-16 11:47 . 2009-05-16 11:47	--------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2009-05-16 11:46 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-16 11:46 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-16 11:46 . 2009-05-16 11:46	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-05-16 11:46 . 2009-05-16 11:46	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-16 10:47 . 2009-05-16 10:47	--------	d-----w	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-05-15 22:57 . 2009-05-15 22:57	--------	d-----w	c:\programme\Trend Micro
2009-05-15 22:51 . 2009-05-15 22:53	--------	d-----w	c:\programme\Windows Live Safety Center

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-22 10:42 . 2006-12-16 09:16	--------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-21 20:00 . 2009-05-16 11:03	2568	----a-w	c:\windows\system32\PerfStringBackup.TMP
2009-05-17 14:53 . 2006-12-16 09:02	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-05-17 11:37 . 2007-12-22 23:21	--------	d-----w	c:\programme\Spybot - Search & Destroy
2009-05-17 11:37 . 2007-12-22 23:21	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-16 18:25 . 2006-12-16 09:10	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee.com
2009-05-16 16:12 . 2007-12-22 23:16	--------	d-----w	c:\programme\Avira
2009-05-16 16:12 . 2007-12-22 23:16	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-15 14:58 . 2007-11-15 21:21	--------	d-----w	c:\programme\ICQToolbar
2009-05-15 14:36 . 2006-12-25 02:54	--------	d-----w	c:\programme\mIRC
2009-05-10 19:03 . 2007-01-08 15:22	--------	d-----w	c:\programme\Dl_cats
2009-04-29 17:33 . 2008-09-15 15:39	--------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\WordToPDF
2009-04-29 17:25 . 2008-09-21 12:45	--------	d-----w	c:\programme\FreePDF
2009-04-13 21:38 . 2009-04-13 21:38	--------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\Apple Computer
2009-04-13 19:38 . 2009-04-13 19:38	--------	d-----w	c:\dokumente und einstellungen\*****\Anwendungsdaten\DivX
2009-03-12 22:33 . 2006-12-25 17:16	5642	--sha-w	c:\windows\system32\KGyGaAvL.sys
2009-03-12 22:33 . 2006-12-25 17:16	168	--sh--r	c:\windows\system32\CE364B9106.sys
2009-03-06 13:59 . 2005-08-20 00:34	286720	----a-w	c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2006-08-03 1032192]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-05-01 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-05-01 602182]
"CTSVolFE.exe"="c:\programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-12-16 169984]
"PCMService"="c:\programme\Dell\MediaDirect\PCMService.exe" [2006-08-22 184320]
"Corel Photo Downloader"="c:\programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe" [2006-08-14 462336]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"DLCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll" [2005-09-08 73728]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-01 185784]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"MSKDetectorExe"="c:\programme\McAfee\SpamKiller\MSKDetct.exe" [2006-11-07 1121280]
"FreePDFAssistent"="c:\programme\FreePDF\FreePDFA.exe" [2003-12-24 150528]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Dell Network Assistant.lnk - c:\windows\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe [2006-12-16 7168]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2006-12-16 24576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Dell\\MediaDirect\\PCMService.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WoW\\BackgroundDownloader.exe"=
"c:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\WoW\\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"=
"c:\\WoW\\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"=
"c:\\WoW\\Launcher.exe"=
"c:\\WoW\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"=
"c:\\WoW\\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"=
"c:\\Programme\\Intel\\Wireless\\Bin\\S24EvMon.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol
"10426:UDP"= 10426:UDP:SingleClick ICC

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.05.2009 18:12 108289]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408]
S2 OMSCAN;OMSCAN;\Sysb --> \Sysb [?]
.
Inhalt des "geplante Tasks" Ordners

2009-05-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\6lpolezf.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\6lpolezf.default\extensions\{6e098d65-7d2d-46d4-ada0-2f882a29f795}\platform\WINNT_x86-msvc\components\libchm.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 12:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  DLCFCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Dell Network Assistant\hnm_svc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\ati2evxx.exe
c:\windows\ehome\ehmsas.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-22 12:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-22 10:44

Vor Suchlauf: 25 Verzeichnis(se), 34.771.881.984 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 34.700.136.448 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

222	--- E O F ---	2009-05-21 11:17

Hier auch noch mal HijackThis Log, ich hab die befürchtung dass dort evtl noch einige virulente Einträge zu finden sind?

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:24, on 22.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: dlcf_device -   - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7228 bytes

Ist, falls jetzt nichts mehr von den Anti-Viren/Malware- softwar nichts gefunden wird mein Rechner soweit clean, dass ich meine Daten sichern kann, ohne eine Verschleppung zu befürchten?
Mein PC, hat von Symantec ein Wiederherstellungsprogramm im Bootbereich, welches den PC auf Werktszustand zurücksetzt, wäre diese Maßnahme sinnvoll um mehr Sicherheit zu gewähren, oder wäre dieses Rootkit ohnehin im MBR und wäre direkt wieder da?

Danke dir vielmals soweit für deine Hilfe.

Gruss Henko

myrtille · 25.05.2009, 13:12

Hi,

könnte ich den Bericht von SUPERAntiSpyware mal sehen? Das Rootkit scheint von SUPERAntiSpyware ausgehebelt worden zu sein.

Dann wäre Combofix in der Tat nicht mehr notwendig gewesen, aber es hat noch einiges aufgeräumt.

2-3 Kleinigkeiten, sind noch sichtbar, die wir jetzt mit entfernen wollen:

Führe bitte folgendes Skript nochmal mit Avenger aus:

1.) Lade dir das Tool Avenger nochmal, falls du es schon gelöscht hast und speichere es auf dem Desktop:

2.) Den Haken für Rooktitscan setzen

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer | NoDrives

files to delete:
c:\windows\system32\vp_setup.exe.bat
c:\windows\system32\vp_setup.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Der Befall ist nicht dafür bekannt, dass er sich im MBR einträgt, wenn du sichergehen willst, kannst du folgendes Programm herunterladen und überprüfen ob der MBR sauber ist:
mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: ) und führe sie einfach aus.
Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

lg myrtille

Henko · 25.05.2009, 15:46

Hi,

also bis jetzt läuft mein system stabil nur wundert es mich manchmal dass antivir noch den ein oder anderen Trojaneralarm gibt.

Hier das SUPERAntiSpyware Log nach dem ersten Scan:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/21/2009 at 11:04 PM

Application Version : 4.26.1002

Core Rules Database Version : 3905
Trace Rules Database Version: 1850

Scan type       : Quick Scan
Total Scan Time : 00:27:19

Memory items scanned      : 786
Memory threats detected   : 2
Registry items scanned    : 545
Registry threats detected : 11
File items scanned        : 31468
File threats detected     : 17

Trojan.Unknown Origin
	C:\WINDOWS\TEMP\MSB.DLL
	C:\WINDOWS\TEMP\MSB.DLL
	[autochk] C:\DOKUME~1\NETWOR~1\PROTECT.DLL
	C:\DOKUME~1\NETWOR~1\PROTECT.DLL
	[autochk] C:\DOKUME~1\LOCALS~1\PROTECT.DLL
	C:\DOKUME~1\LOCALS~1\PROTECT.DLL
	[autochk] C:\DOKUME~1\NETWOR~1\PROTECT.DLL
	C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\PROTECT.DLL
	C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\PROTECT.DLL
	C:\DOKUMENTE UND EINSTELLUNGEN\VAHILOR\PROTECT.DLL
	C:\WINDOWS\SYSTEM32\AUTOCHK.DLL
	C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\PROTECT.DLL
	C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\STARTMENü\PROGRAMME\AUTOSTART\CHKDISK.DLL
	C:\WINDOWS\SYSTEM32\OVFSTHBGVJOWOEAPFKEHJBOLFBUXCXILVGVJNR.DLL
	C:\WINDOWS\SYSTEM32\OVFSTHRQRVVJGLXISQRXWPHTGFCBTOJONOSKBI.DLL

Trojan.Agent/Gen-Virut
	C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE
	C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE
	[svc] C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE
	[svc] C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE

Trojan.Agent/Gen-QuickDrop
	[] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE
	C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE
	[uidenhiufgsduiazghs] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE
	[] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE
	[uidenhiufgsduiazghs] C:\WINDOWS\TEMP\ZE0G6FOJ4.EXE
	C:\WINDOWS\TEMP\JKWW73NF9834J.EXE
	C:\WINDOWS\Prefetch\JKWW73NF9834J.EXE-089BF50D.pf
	C:\WINDOWS\Prefetch\ZE0G6FOJ4.EXE-2FC52F88.pf

Rootkit.Agent/Gen-Rustock
	HKLM\system\controlset001\services\ovfsthykapmvgivcjikhbebdkbghjfrstowuyn
	C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHCEYXNAQOSBLNOHYDTRGKJVMLTBTKTKBV.SYS
	HKLM\system\controlset003\services\ovfsthykapmvgivcjikhbebdkbghjfrstowuyn

Avenger

Code:

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon May 25 16:34:48 2009

16:33:54: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry value deletion mode)  


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\vp_setup.exe.bat" not found!
Deletion of file "c:\windows\system32\vp_setup.exe.bat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\vp_setup.exe" not found!
Deletion of file "c:\windows\system32\vp_setup.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

MBR Log

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Soweit ich es beurteilen kann sieht es sauber aus. Kann ich nun mehr oder minder beruhigt am PC arbeiten, oder sollte ich noch was ändern ?

Vielen Dank
Henko

myrtille · 25.05.2009, 16:05

Hi,

Das MBR ist (wie erwartet

) sauber. Das heißt das der Rechner, wenn du ihn neuaufsetzt, dann sauber sein sollte.

Der Rest ist verwirrend. Einträge und Dateien verschwinden und tauchen in anderen Logs später wieder auf. Das Log von Combofix sieht soweit sauber aus. Es fehlen aber Dateien aus früheren Durchläufen. Hast du noch andere Remover benutzt?

Traust du dir zu selbst in der Registry was zu editieren, oder soll ich dir dafür was schreiben?

(Wenn du es selbst tun willst:
Sicherheitshalber ein Back-Up deiner Registry machen, bevor du sie editierst: Sicherungsdatei Windows Registry Anleitung
Klicke Start > ausführen, schreib REGEDIT, -> [enter]
Navigiere zu folgendem Schlüssel:

Zitat:

Zitat von Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

und lösche auf der rechten Seite folgenden Wert:

Zitat:

Zitat von Wert

NoDrives

NoDrives ist ein Registrywert, der es ermöglicht Laufwerke im Explorer auszublenden. Microsoft Erklärung)

Könntest du bitte nochmal ein Log mit RSIT machen? (log.txt reicht)

lg myrtille

Henko · 25.05.2009, 17:27

Hi,

also den Wert konnte ich nicht aus der Registry löschen, da er wohl nicht mehr vorhanden war. Das mit den 2 Dateien die Avenger nicht löschen konnte, könnte daran liegen, dass es 2 waren die ich per Hand gelöscht hatte, da antivir mir diese als Warnung angab, aber wohl selbst nicht entfernen konnte.
Sonst habe ich eigentlich keine Removaltools verwendet, außer hier im Beitrag erwähnten. Zwischendurch habe ich öfter MAM und Antivir laufen lassen, die nach updates, vereinzelt was gefunden haben und entfernen konnten. Evtl liegt es daran.

Hier der Log

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Vahilor at 2009-05-25 18:22:14
Microsoft Windows XP Professional Service Pack 3
System drive C: has 32 GB (30%) free of 108 GB
Total RAM: 1022 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:27, on 25.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\dlcfcoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Downloaded\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Vahilor.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: dlcf_device -   - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7490 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]
"SigmatelSysTrayApp"=C:\WINDOWS\stsystra.exe [2006-03-25 282624]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-03-08 761947]
"Dell QuickSet"=C:\Programme\Dell\QuickSet\quickset.exe [2006-08-03 1032192]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"IntelZeroConfig"=C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe [2006-05-01 667718]
"IntelWireless"=C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe [2006-05-01 602182]
"CTSVolFE.exe"=C:\Programme\Creative\Mixer\CTSVolFE.exe [2005-02-23 57344]
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-07-27 221184]
"ISUSScheduler"=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2004-07-27 81920]
"Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2006-12-16 169984]
"PCMService"=C:\Programme\Dell\MediaDirect\PCMService.exe [2006-08-22 184320]
"Corel Photo Downloader"=C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe [2006-08-14 462336]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"DLCFCATS"=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16 []
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2007-06-01 185784]
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2005-05-31 122941]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2007-06-29 286720]
"MSKDetectorExe"=C:\Programme\McAfee\SpamKiller\MSKDetct.exe [2006-11-07 1121280]
"FreePDFAssistent"=C:\Programme\FreePDF\FreePDFA.exe [2003-12-24 150528]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MsnMsgr"=C:\Programme\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Dell Network Assistant.lnk - C:\WINDOWS\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-05-23 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDrives"=0
"NoDriveAutoRun"=67108863

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Dell\MediaDirect\PCMService.exe"="C:\Programme\Dell\MediaDirect\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe"="C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe:*:Enabled:VoipStunt"
"C:\WoW\BackgroundDownloader.exe"="C:\WoW\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\Dell Network Assistant\ezi_hnm2.exe"="C:\Programme\Dell Network Assistant\ezi_hnm2.exe:*:Enabled:Dell Network Assistant"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9464-to-3.0.8.9506-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe"="C:\WoW\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\Launcher.exe"="C:\WoW\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="C:\WoW\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe"="C:\WoW\WoW-3.1.0.9767-to-3.1.1.9806-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\Programme\Intel\Wireless\Bin\S24EvMon.exe"="C:\Programme\Intel\Wireless\Bin\S24EvMon.exe:*:Enabled:S24EvMon"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Disabled:eMule"
"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Disabled:mIRC"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Henko · 25.05.2009, 17:29

Code:

ATTFilter

======List of files/folders created in the last 1 months======

2009-05-25 16:39:18 ----A---- C:\mbr.exe
2009-05-25 16:35:48 ----D---- C:\Avenger
2009-05-25 16:34:48 ----A---- C:\avenger.txt
2009-05-25 11:21:56 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2009-05-25 11:21:07 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-05-25 11:20:59 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-05-25 11:20:45 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-05-24 20:59:01 ----SHD---- C:\Config.Msi
2009-05-24 20:56:33 ----A---- C:\WINDOWS\OEWABLog.txt
2009-05-24 20:55:08 ----D---- C:\WINDOWS\Prefetch
2009-05-24 12:54:45 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-05-24 12:54:29 ----HDC---- C:\WINDOWS\$NtUninstallKB963027$
2009-05-24 12:54:12 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-05-24 12:54:03 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-05-24 12:53:48 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-05-24 12:53:39 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-05-24 12:53:31 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$
2009-05-24 12:53:20 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-05-24 12:53:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-05-24 12:52:54 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2009-05-24 12:52:41 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-05-24 12:52:31 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2009-05-24 12:52:23 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2009-05-24 12:52:04 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-05-24 12:51:54 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-05-24 12:51:34 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-05-24 12:51:18 ----HDC---- C:\WINDOWS\$NtUninstallKB956390$
2009-05-24 12:51:10 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-05-24 12:51:03 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-05-24 12:50:54 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2009-05-24 12:50:33 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$
2009-05-24 12:50:19 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-05-24 12:50:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-05-24 12:50:02 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-05-24 12:49:53 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-05-24 12:49:47 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2009-05-24 12:49:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-05-24 12:49:31 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-05-24 12:49:24 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-05-24 12:49:17 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-05-24 12:49:08 ----HDC---- C:\WINDOWS\$NtUninstallKB950759$
2009-05-24 12:49:01 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-05-24 12:48:56 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2009-05-24 12:48:49 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-05-24 12:45:02 ----A---- C:\WINDOWS\setuplog.txt
2009-05-24 12:43:58 ----D---- C:\WINDOWS\system32\de-de
2009-05-24 12:43:56 ----D---- C:\WINDOWS\system32\de
2009-05-24 12:43:56 ----D---- C:\WINDOWS\system32\bits
2009-05-24 12:43:56 ----D---- C:\WINDOWS\l2schemas
2009-05-24 12:40:53 ----D---- C:\WINDOWS\ServicePackFiles
2009-05-24 12:37:53 ----D---- C:\WINDOWS\network diagnostic
2009-05-24 12:36:33 ----A---- C:\WINDOWS\imsins.BAK
2009-05-24 12:32:46 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-05-24 10:33:15 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-23 23:47:18 ----D---- C:\Programme\ESET
2009-05-23 22:06:18 ----SHD---- C:\RECYCLER
2009-05-22 12:44:53 ----D---- C:\WINDOWS\temp
2009-05-22 12:44:51 ----A---- C:\ComboFix.txt
2009-05-22 12:36:05 ----A---- C:\Boot.bak
2009-05-22 12:35:57 ----RASHD---- C:\cmdcons
2009-05-22 12:34:26 ----A---- C:\WINDOWS\zip.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\SWSC.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\SWREG.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\sed.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\PEV.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\NIRCMD.exe
2009-05-22 12:34:26 ----A---- C:\WINDOWS\grep.exe
2009-05-22 12:34:15 ----D---- C:\WINDOWS\ERDNT
2009-05-22 12:33:14 ----D---- C:\Qoobox
2009-05-21 22:30:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 22:30:01 ----D---- C:\Programme\SUPERAntiSpyware
2009-05-21 22:30:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-21 22:29:50 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-21 13:16:59 ----HDC---- C:\WINDOWS\$NtUninstallKB959426_0$
2009-05-21 13:16:53 ----HDC---- C:\WINDOWS\$NtUninstallKB961373_0$
2009-05-21 13:16:47 ----HDC---- C:\WINDOWS\$NtUninstallKB960225_0$
2009-05-21 13:16:30 ----HDC---- C:\WINDOWS\$NtUninstallKB956572_0$
2009-05-21 13:16:18 ----HDC---- C:\WINDOWS\$NtUninstallKB952004_0$
2009-05-21 13:16:13 ----HDC---- C:\WINDOWS\$NtUninstallKB960715$
2009-05-21 13:16:08 ----HDC---- C:\WINDOWS\$NtUninstallKB958687_0$
2009-05-21 13:16:00 ----HDC---- C:\WINDOWS\$NtUninstallKB967715_0$
2009-05-21 13:15:53 ----HDC---- C:\WINDOWS\$NtUninstallKB958690_0$
2009-05-21 13:15:47 ----HDC---- C:\WINDOWS\$NtUninstallKB960803_0$
2009-05-21 13:15:32 ----HDC---- C:\WINDOWS\$NtUninstallKB963027_0$
2009-05-21 13:15:23 ----HDC---- C:\WINDOWS\$NtUninstallKB923561_0$
2009-05-21 12:33:44 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-17 21:53:52 ----D---- C:\Daten
2009-05-17 13:30:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-05-17 12:59:29 ----A---- C:\WINDOWS\system32\TweakUI.exe
2009-05-16 17:23:48 ----D---- C:\rsit
2009-05-16 13:47:02 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\Malwarebytes
2009-05-16 13:46:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-16 13:46:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-16 11:05:20 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-16 01:39:14 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\restart.txt
2009-05-16 00:57:05 ----D---- C:\Programme\Trend Micro
2009-05-16 00:51:10 ----D---- C:\Programme\Windows Live Safety Center
2009-05-16 00:39:41 ----A---- C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
2009-05-15 23:22:00 ----D---- C:\Programme\AntiVir PersonalEdition Classic

======List of files/folders modified in the last 1 months======

2009-05-25 16:39:44 ----D---- C:\Downloaded
2009-05-25 16:38:01 ----D---- C:\WINDOWS
2009-05-25 16:37:59 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-25 16:37:53 ----D---- C:\Programme\Mozilla Firefox
2009-05-25 16:37:08 ----D---- C:\MDT
2009-05-25 16:36:21 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-25 16:35:48 ----D---- C:\WINDOWS\system32\drivers
2009-05-25 16:34:56 ----D---- C:\WINDOWS\system32
2009-05-25 11:21:13 ----HD---- C:\WINDOWS\inf
2009-05-25 11:21:11 ----D---- C:\WINDOWS\system32\dllcache
2009-05-25 11:21:00 ----D---- C:\WINDOWS\WinSxS
2009-05-24 21:00:24 ----HD---- C:\WINDOWS\$hf_mig$
2009-05-24 20:59:18 ----SHD---- C:\WINDOWS\Installer
2009-05-24 20:59:15 ----D---- C:\WINDOWS\Debug
2009-05-24 20:59:03 ----D---- C:\Programme\MSN Messenger
2009-05-24 20:54:36 ----D---- C:\WINDOWS\system32\Setup
2009-05-24 20:54:36 ----D---- C:\WINDOWS\AppPatch
2009-05-24 20:54:35 ----D---- C:\WINDOWS\system32\wbem
2009-05-24 20:54:35 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-05-24 20:54:33 ----RSD---- C:\WINDOWS\Fonts
2009-05-24 12:55:04 ----D---- C:\WINDOWS\system32\CatRoot
2009-05-24 12:49:03 ----D---- C:\Programme\Messenger
2009-05-24 12:48:27 ----D---- C:\WINDOWS\security
2009-05-24 12:44:15 ----D---- C:\WINDOWS\system32\inetsrv
2009-05-24 12:44:14 ----D---- C:\WINDOWS\ime
2009-05-24 12:44:14 ----D---- C:\WINDOWS\Help
2009-05-24 12:43:58 ----D---- C:\WINDOWS\system32\usmt
2009-05-24 12:43:57 ----D---- C:\Programme\Internet Explorer
2009-05-24 12:43:56 ----D---- C:\WINDOWS\PeerNet
2009-05-24 12:43:55 ----D---- C:\Programme\Movie Maker
2009-05-24 12:40:39 ----D---- C:\WINDOWS\system32\Restore
2009-05-24 12:40:38 ----D---- C:\WINDOWS\system32\npp
2009-05-24 12:40:37 ----D---- C:\WINDOWS\msagent
2009-05-24 12:40:35 ----D---- C:\WINDOWS\srchasst
2009-05-24 12:40:34 ----D---- C:\Programme\NetMeeting
2009-05-24 12:40:33 ----D---- C:\WINDOWS\system32\Com
2009-05-24 12:40:30 ----D---- C:\Programme\Windows NT
2009-05-24 12:40:30 ----D---- C:\Programme\Outlook Express
2009-05-24 12:40:09 ----D---- C:\WINDOWS\system32\oobe
2009-05-24 12:40:06 ----D---- C:\WINDOWS\system
2009-05-24 12:36:31 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-05-24 12:32:45 ----D---- C:\WINDOWS\ehome
2009-05-24 10:28:35 ----D---- C:\WINDOWS\Registration
2009-05-24 10:28:20 ----SHD---- C:\WINDOWS\CSC
2009-05-23 23:47:18 ----RD---- C:\Programme
2009-05-22 13:20:50 ----D---- C:\WoW
2009-05-22 12:40:50 ----A---- C:\WINDOWS\system.ini
2009-05-22 12:38:17 ----D---- C:\WINDOWS\system32\config
2009-05-22 12:37:28 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-22 12:36:05 ----RASH---- C:\boot.ini
2009-05-22 12:34:25 ----SHD---- C:\System Volume Information
2009-05-21 22:32:09 ----D---- C:\Program Files
2009-05-17 16:53:23 ----HD---- C:\Programme\InstallShield Installation Information
2009-05-17 13:37:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-05-17 13:37:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-16 20:25:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee.com
2009-05-16 18:12:31 ----D---- C:\Programme\Avira
2009-05-16 18:12:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-05-16 16:58:50 ----A---- C:\WINDOWS\wininit.ini
2009-05-15 16:58:53 ----D---- C:\Programme\ICQToolbar
2009-05-15 16:36:56 ----D---- C:\Programme\mIRC
2009-05-10 21:03:47 ----D---- C:\Programme\Dl_cats
2009-04-29 19:33:01 ----D---- C:\Dokumente und Einstellungen\Vahilor\Anwendungsdaten\WordToPDF
2009-04-29 19:25:42 ----D---- C:\Programme\FreePDF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 APPDRV;APPDRV; C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS [2005-08-12 16128]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 omci;OMCI WDM Device Driver; C:\WINDOWS\system32\DRIVERS\omci.sys [2004-02-13 17153]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2005-05-13 5627]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2005-05-13 23545]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-10 12032]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-12-16 21275]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2005-04-21 40544]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R2 Packet;Auto Internet Protocol; C:\WINDOWS\system32\DRIVERS\packet.sys [2006-12-18 12672]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-05-01 13568]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2005-05-31 25725]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2005-05-31 34845]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2005-05-31 4125]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2005-05-31 2273]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2005-05-31 86876]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2005-05-31 15069]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2005-05-31 6365]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2005-05-31 98716]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2005-05-31 100605]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-05-23 1578496]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2006-08-25 44544]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-07-22 1035008]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-07-22 201600]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-10-14 28544]
R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-10-14 51328]
R3 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2005-10-14 307968]
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2006-03-25 1156648]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-03-08 191872]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2006-04-27 1429632]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-07-22 717952]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 DSproct;DSproct; \??\C:\Programme\Dell Support\GTAction\triggers\DSproct.sys []
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 mbr;mbr; \??\C:\DOKUME~1\Vahilor\LOKALE~1\Temp\mbr.sys []
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 ZSMC301b;WEBSHOT II USB CAM 300K; C:\WINDOWS\System32\Drivers\usbVM31b.sys [2004-03-03 90534]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-23 409600]
R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2006-05-01 114753]
R2 hnmsvc;Advanced Networking Service; C:\Programme\Dell Network Assistant\hnm_svc.exe [2007-08-27 111912]
R2 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2003-02-25 303104]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2006-05-01 217164]
R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2006-05-01 540745]
R2 WLANKEEPER;Intel(R) PROSet/Wireless SSO Service; C:\Programme\Intel\Wireless\Bin\WLKeeper.exe [2006-05-01 262217]
R3 dlcf_device;dlcf_device; C:\WINDOWS\system32\dlcfcoms.exe [2005-09-29 491520]
S02000000 OMSCAN;OMSCAN; \Sys []
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-04 38912]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]

-----------------EOF-----------------

Ist es zwingend erforderlich das System nun neu aufzuseten oder besht eine Chance von 90% dass das System wieder rein ist, wenn ich jetzt die nächsten 2 Wochen nichts mehr finde?

Danke
Henko

myrtille · 25.05.2009, 17:58

Hi,

der Eintrag sollte eigentlich schon noch da sein, ist so aber wirkungslos:

Code:

ATTFilter

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDrives"=0
"NoDriveAutoRun"=67108863

Kannst du mir sagen ob du diese 3 Einträge in der Registry siehst?

Hast du den Autostart für bestimmte Laufwerke deaktiviert, oder sind die Einträge von wem anders generiert worden?
(Vergleiche zb denselben Schlüssel vom 16.05

Code:

ATTFilter

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

)

Dein Rechner ist wahrscheinlich sauber, ja.

(Das Problem bei verschwundenen Dateien ist zu wissen: welche Datei wurde von Avira gelöscht, welche Datei hat sich vor Windows versteckt und welche Datei wurde ausgeführt und hat ihren Job getan und dich wieder infiziert. Daher ist es etwas schwer abzuschätzen, ob du sauber bist.
Wenn allerdings alle Logs sauber sind und auch die installierten Programme nichts mehr sehen, stehen die Chancen gnaz gut.

)
Ich würd abschließend nochmal einen Scan mit RootRepeal machen, um zu sehen was von dem Rootkit eventuell noch übrig ist und anschließend die ganzen installierten Removaltools entfernen.

lg myrtille