Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.08.2009, 11:48   #1
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Hallo!

Ich habe seit geraumer Zeit Probleme mit einem Trojaner den ich nicht gelöscht bekomme..
\\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll
Der Pfad wird angezeigt ohne C: oder D: Laufwerk...
ich habe bereits in Google gesucht nach einer geyekrepmqjpwq.dll aber ich wurde leider nicht fündig
Im Trojaner Board hab ich leider auch nichts finden können wobei ich mich durch einzelne Beiträge durchgeklickt und dabei einzelnen Tipps gefolgt bin.
Leider ohne Erfolg

Ich habe folgende Virusprogramme:
-PC Tools SpywareDoctor
-CCleaner
-Malwarebytes' Ante-Malware (von Trojaner Board heruntergeladen)
-SuperAntiSpyware FREE Edition
-Trojan Guarder Gold Version (gefunden in: http://www.trojaner-board.de/7887-hilfe-hab-mir-einen-trojaner-eingefangen.html)

Habe bereits mindestens 4 mal die oben genannten 4 Programme über den Computer laufen lassen aber der Trojaner bleibt vorhanden...
Ich kenne mich leider nicht richtig mit Trojanern aus und auch nicht mit Spyware Logs deswegen hoffe ich hier auf professionelle Hilfe
Vielen Dank schon mal im Vorraus

Gruß Styggi

Alt 22.08.2009, 12:13   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Hallo und

Zitat:
Ich habe seit geraumer Zeit Probleme mit einem Trojaner den ich nicht gelöscht bekomme..
\\?\globalroot\systemroot\system32\geyekrepmqjpwq. dll
Der Pfad wird angezeigt ohne C: oder D: Laufwerk...
ich habe bereits in Google gesucht nach einer geyekrepmqjpwq.dll aber ich wurde leider nicht fündig
Systemroot deutet immer auf die Systempartition (idR C:\) hin. Bei Google wirst Du selten fündig über den exakten Dateinamen, da die Schädlinge Zufallskombinationen für den Dateinamen verwenden, der ist idR auch einmalig.

Da die anderen Tools erstmal sich die Zähne am mutmaßlichen Rootkit ausbeißen, schlage ich mal zuerst einen Durchlauf mit Combofix vor. Bitte genau lesen und so handeln!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!


Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
[/QUOTE]
__________________

__________________

Alt 22.08.2009, 13:02   #3
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Hier is der Code aus Combofix.txt
Code:
ATTFilter
ComboFix 09-08-21.02 - JanJeah 22.08.2009 13:28.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2032.1582 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\JanJeah\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\atari-kids.ttf
c:\windows\Fonts\GUNSHIP2.TTF
c:\windows\Fonts\insomnia.ttf
c:\windows\Fonts\PHASE05_.TTF
c:\windows\system32\Plugins
c:\windows\system32\Plugins\YCPlugins\rapidshare.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-07-22 bis 2009-08-22  ))))))))))))))))))))))))))))))
.

2009-08-22 10:04 . 2009-08-22 10:07	--------	d-----w-	c:\programme\trend micro
2009-08-22 10:04 . 2009-08-22 10:06	--------	d-----w-	C:\rsit
2009-08-21 20:20 . 2009-08-21 20:25	--------	d-----w-	c:\programme\Trojan Guarder Gold Version
2009-08-21 17:24 . 2009-08-22 09:20	117760	----a-w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-21 17:06 . 2008-04-15 13:36	69632	----a-w-	c:\windows\Alcmtr.exe
2009-08-18 14:22 . 2009-08-18 14:22	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\MAXON
2009-08-18 14:21 . 2004-03-29 14:23	90112	----a-w-	c:\windows\unvise32.exe
2009-08-18 14:19 . 2009-08-18 14:19	--------	d-----w-	c:\programme\C4D
2009-08-18 14:17 . 2009-08-18 14:23	--------	d-----w-	c:\programme\Cinema 4D
2009-08-13 14:57 . 2009-08-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-08-13 14:57 . 2009-08-13 14:57	--------	d-----w-	c:\programme\Paint.NET
2009-08-13 09:37 . 2009-08-21 16:47	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SecTaskMan
2009-08-12 16:40 . 2009-08-12 16:40	--------	d-s---w-	c:\dokumente und einstellungen\JanJeah\UserData
2009-08-12 11:13 . 2009-08-12 11:24	--------	d-----w-	c:\programme\SharePod
2009-08-11 21:56 . 2009-08-11 21:58	--------	d-----w-	c:\programme\ICQ6.5
2009-08-11 21:55 . 2009-08-11 21:57	--------	d-----w-	c:\programme\ICQ6
2009-08-11 19:44 . 2009-08-11 19:44	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\DivX
2009-08-11 16:24 . 2009-08-22 09:18	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Winamp
2009-08-11 16:24 . 2009-08-11 16:24	--------	d-----w-	c:\programme\Winamp
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----r-	c:\programme\Skype
2009-08-06 14:51 . 2009-08-06 15:17	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\vlc
2009-08-05 07:58 . 2009-08-05 08:27	--------	d-----w-	c:\programme\WinPcap
2009-08-04 10:42 . 2009-08-21 16:45	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\inkscape
2009-08-04 10:37 . 2009-08-21 16:46	--------	d-----w-	c:\programme\Inkscape
2009-07-29 20:58 . 2009-08-02 21:01	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\Temp
2009-07-29 20:58 . 2009-07-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:45 . 2009-07-29 20:45	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:53	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:44	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Google Updater
2009-07-29 20:44 . 2009-07-29 20:46	--------	d-----w-	c:\programme\Google
2009-07-29 14:57 . 2009-07-29 14:57	2290688	----a-w-	c:\windows\system32\TUKernel.exe
2009-07-29 14:01 . 2009-04-27 12:21	28928	----a-w-	c:\windows\system32\uxtuneup.dll
2009-07-29 14:01 . 2009-07-29 14:01	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 11:27 . 2009-04-16 18:25	--------	d---a-w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TEMP
2009-08-22 11:16 . 2009-04-13 15:52	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Skype
2009-08-22 10:57 . 2009-06-05 10:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TrackMania
2009-08-22 09:18 . 2009-04-13 15:59	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\skypePM
2009-08-21 22:23 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Warcraft III
2009-08-21 17:53 . 2009-04-13 12:55	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-21 16:46 . 2009-04-13 15:05	--------	d-----w-	c:\programme\Image-Line
2009-08-20 07:42 . 2009-04-13 14:04	236128	----a-w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-19 18:36 . 2006-02-28 12:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-08-19 18:36 . 2006-02-28 12:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-08-19 09:31 . 2009-04-16 18:25	--------	d-----w-	c:\programme\Spyware Doctor
2009-08-18 14:17 . 2009-06-11 13:24	--------	d-----w-	c:\programme\gmax
2009-08-13 09:43 . 2009-05-03 10:18	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\CanonIJPLM
2009-08-11 16:07 . 2009-04-13 15:51	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Skype
2009-08-09 13:59 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-08-09 13:24 . 2009-04-13 15:45	--------	d-----w-	c:\programme\VirtualCloneDrive
2009-08-06 14:51 . 2009-04-13 15:47	--------	d-----w-	c:\programme\VideoLAN
2009-07-29 14:01 . 2009-04-13 13:42	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-07-29 14:01 . 2009-04-13 13:37	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-07-26 17:39 . 2009-06-06 17:54	256	----a-w-	c:\windows\system32\pool.bin
2009-07-12 19:25 . 2009-07-12 19:25	--------	d-----w-	c:\programme\YouTube Downloader3
2009-07-07 16:37 . 2009-04-14 15:41	--------	d-----w-	c:\programme\Funk Flitzer
2009-06-27 17:01 . 2009-05-01 14:19	--------	d-----w-	c:\programme\TrackMania United Forever
2009-06-24 17:53 . 2009-04-27 18:14	1	----a-w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-06 17:43 . 2009-06-06 17:43	69632	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\DesktopMgr.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IRW"="c:\windows\system32\IRW.exe" [2008-04-15 147456]
"Apple_KbdMgr"="c:\programme\Boot Camp\KbdMgr.exe" [2008-04-15 423216]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"BlackBerryAutoUpdate"="c:\programme\Gemeinsame Dateien\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-03-19 615696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2006-02-28 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\JanJeah\Startmen\Programme\Autostart\
Warkeys Update.lnk - c:\programme\Warcraft III\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2008-3-9 240640]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Trojan Guarder Gold Version.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Trojan Guarder Gold Version.lnk
backup=c:\windows\pss\Trojan Guarder Gold Version.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^JanJeah^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\JanJeah\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Warcraft III\\listchecker\\pickup.listchecker.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TrackMania United Forever\\TmForever.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.05.2009 20:59 130936]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [15.04.2008 16:44 132400]
R2 AppleTimeSrv;Apple-Time-Server;c:\windows\system32\AppleTimeSrv.exe [15.04.2008 16:44 99632]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [15.04.2008 16:44 5504]
R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [15.04.2008 16:44 6528]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [16.04.2009 20:25 348752]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [13.04.2009 15:42 604416]
R3 applebt;Apple Built-in Bluetooth;c:\windows\system32\drivers\applebt.sys [13.04.2009 14:55 9088]
R3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\drivers\IRFilter.sys [13.04.2009 14:57 16512]
R3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [13.04.2009 14:58 19968]
S2 gupdate1ca108d710a1fc4;Google Update Service (gupdate1ca108d710a1fc4);c:\programme\Google\Update\GoogleUpdate.exe [29.07.2009 22:44 133104]
S3 BthKicker;Apple Bluetooth Device Driver;c:\windows\system32\drivers\BthKicker.sys [13.04.2009 14:57 7424]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [13.04.2009 14:54 17664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-rgadta.sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
TCP: {97E8AC16-ECB9-45C3-B923-8FD9AE60AE07} = 192.168.0.1
TCP: {D34C9E5F-25F1-4D18-9608-7A211A86BB03} = 192.168.0.1
FF - ProfilePath - c:\dokume~1\JanJeah\ANWEND~1\Mozilla\Firefox\Profiles\roystodq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.youtube.com/|http://lordaniel.bplaced.net/index.php?news|http://mail.google.com/mail/?shva=1#inbox|http://www.dota-league.com/
FF - plugin: c:\programme\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 13:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
geyekrepmqjpwq.dll 10000000    32768 \\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-22 13:37
ComboFix-quarantined-files.txt  2009-08-22 11:37

Vor Suchlauf: 8 Verzeichnis(se), 14.058.962.944 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 14.103.650.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /execute=optin /fastdetect /TUTag=TANVTM

262	--- E O F ---	2009-08-21 16:08
         
Nach dem Neustart den Combofix durchgeführt hat sind die Netzwerkeinstellungen nicht mehr vorhanden gewesen
ich hab dann den Computer nochmal Neugestartet und sie waren wieder da..
weis nich ob das ausschlaggebend für irgendwas ist.
Ich wollts nur gesagt haben
__________________

Alt 22.08.2009, 15:15   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Frage

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Zitat:
ausgeführt von:: c:\dokumente und einstellungen\JanJeah\Desktop\ComboFix.exe
hast Du die ComboFix.exe garnicht umbenannt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.08.2009, 15:25   #5
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



oh mann ich idiot natürlich..
entschuldigung is mir entfallen...

Code:
ATTFilter
ComboFix 09-08-21.02 - *** 22.08.2009 13:28.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2032.1582 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\atari-kids.ttf
c:\windows\Fonts\GUNSHIP2.TTF
c:\windows\Fonts\insomnia.ttf
c:\windows\Fonts\PHASE05_.TTF
c:\windows\system32\Plugins
c:\windows\system32\Plugins\YCPlugins\rapidshare.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-07-22 bis 2009-08-22  ))))))))))))))))))))))))))))))
.

2009-08-22 10:04 . 2009-08-22 10:07	--------	d-----w-	c:\programme\trend micro
2009-08-22 10:04 . 2009-08-22 10:06	--------	d-----w-	C:\rsit
2009-08-21 20:20 . 2009-08-21 20:25	--------	d-----w-	c:\programme\Trojan Guarder Gold Version
2009-08-21 17:24 . 2009-08-22 09:20	117760	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-21 17:06 . 2008-04-15 13:36	69632	----a-w-	c:\windows\Alcmtr.exe
2009-08-18 14:22 . 2009-08-18 14:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\MAXON
2009-08-18 14:21 . 2004-03-29 14:23	90112	----a-w-	c:\windows\unvise32.exe
2009-08-18 14:19 . 2009-08-18 14:19	--------	d-----w-	c:\programme\C4D
2009-08-18 14:17 . 2009-08-18 14:23	--------	d-----w-	c:\programme\Cinema 4D
2009-08-13 14:57 . 2009-08-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-08-13 14:57 . 2009-08-13 14:57	--------	d-----w-	c:\programme\Paint.NET
2009-08-13 09:37 . 2009-08-21 16:47	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SecTaskMan
2009-08-12 16:40 . 2009-08-12 16:40	--------	d-s---w-	c:\dokumente und einstellungen\***\UserData
2009-08-12 11:13 . 2009-08-12 11:24	--------	d-----w-	c:\programme\SharePod
2009-08-11 21:56 . 2009-08-11 21:58	--------	d-----w-	c:\programme\ICQ6.5
2009-08-11 21:55 . 2009-08-11 21:57	--------	d-----w-	c:\programme\ICQ6
2009-08-11 19:44 . 2009-08-11 19:44	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DivX
2009-08-11 16:24 . 2009-08-22 09:18	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Winamp
2009-08-11 16:24 . 2009-08-11 16:24	--------	d-----w-	c:\programme\Winamp
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----r-	c:\programme\Skype
2009-08-06 14:51 . 2009-08-06 15:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-08-05 07:58 . 2009-08-05 08:27	--------	d-----w-	c:\programme\WinPcap
2009-08-04 10:42 . 2009-08-21 16:45	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\inkscape
2009-08-04 10:37 . 2009-08-21 16:46	--------	d-----w-	c:\programme\Inkscape
2009-07-29 20:58 . 2009-08-02 21:01	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2009-07-29 20:58 . 2009-07-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:45 . 2009-07-29 20:45	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:53	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:44	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Google Updater
2009-07-29 20:44 . 2009-07-29 20:46	--------	d-----w-	c:\programme\Google
2009-07-29 14:57 . 2009-07-29 14:57	2290688	----a-w-	c:\windows\system32\TUKernel.exe
2009-07-29 14:01 . 2009-04-27 12:21	28928	----a-w-	c:\windows\system32\uxtuneup.dll
2009-07-29 14:01 . 2009-07-29 14:01	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 11:27 . 2009-04-16 18:25	--------	d---a-w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TEMP
2009-08-22 11:16 . 2009-04-13 15:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-08-22 10:57 . 2009-06-05 10:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TrackMania
2009-08-22 09:18 . 2009-04-13 15:59	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-08-21 22:23 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Warcraft III
2009-08-21 17:53 . 2009-04-13 12:55	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-21 16:46 . 2009-04-13 15:05	--------	d-----w-	c:\programme\Image-Line
2009-08-20 07:42 . 2009-04-13 14:04	236128	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-19 18:36 . 2006-02-28 12:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-08-19 18:36 . 2006-02-28 12:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-08-19 09:31 . 2009-04-16 18:25	--------	d-----w-	c:\programme\Spyware Doctor
2009-08-18 14:17 . 2009-06-11 13:24	--------	d-----w-	c:\programme\gmax
2009-08-13 09:43 . 2009-05-03 10:18	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\CanonIJPLM
2009-08-11 16:07 . 2009-04-13 15:51	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Skype
2009-08-09 13:59 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-08-09 13:24 . 2009-04-13 15:45	--------	d-----w-	c:\programme\VirtualCloneDrive
2009-08-06 14:51 . 2009-04-13 15:47	--------	d-----w-	c:\programme\VideoLAN
2009-07-29 14:01 . 2009-04-13 13:42	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-07-29 14:01 . 2009-04-13 13:37	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-07-26 17:39 . 2009-06-06 17:54	256	----a-w-	c:\windows\system32\pool.bin
2009-07-12 19:25 . 2009-07-12 19:25	--------	d-----w-	c:\programme\YouTube Downloader3
2009-07-07 16:37 . 2009-04-14 15:41	--------	d-----w-	c:\programme\Funk Flitzer
2009-06-27 17:01 . 2009-05-01 14:19	--------	d-----w-	c:\programme\TrackMania United Forever
2009-06-24 17:53 . 2009-04-27 18:14	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-06 17:43 . 2009-06-06 17:43	69632	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\DesktopMgr.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IRW"="c:\windows\system32\IRW.exe" [2008-04-15 147456]
"Apple_KbdMgr"="c:\programme\Boot Camp\KbdMgr.exe" [2008-04-15 423216]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"BlackBerryAutoUpdate"="c:\programme\Gemeinsame Dateien\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-03-19 615696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2006-02-28 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Warkeys Update.lnk - c:\programme\Warcraft III\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2008-3-9 240640]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Trojan Guarder Gold Version.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Trojan Guarder Gold Version.lnk
backup=c:\windows\pss\Trojan Guarder Gold Version.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Warcraft III\\listchecker\\pickup.listchecker.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TrackMania United Forever\\TmForever.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.05.2009 20:59 130936]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [15.04.2008 16:44 132400]
R2 AppleTimeSrv;Apple-Time-Server;c:\windows\system32\AppleTimeSrv.exe [15.04.2008 16:44 99632]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [15.04.2008 16:44 5504]
R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [15.04.2008 16:44 6528]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [16.04.2009 20:25 348752]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [13.04.2009 15:42 604416]
R3 applebt;Apple Built-in Bluetooth;c:\windows\system32\drivers\applebt.sys [13.04.2009 14:55 9088]
R3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\drivers\IRFilter.sys [13.04.2009 14:57 16512]
R3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [13.04.2009 14:58 19968]
S2 gupdate1ca108d710a1fc4;Google Update Service (gupdate1ca108d710a1fc4);c:\programme\Google\Update\GoogleUpdate.exe [29.07.2009 22:44 133104]
S3 BthKicker;Apple Bluetooth Device Driver;c:\windows\system32\drivers\BthKicker.sys [13.04.2009 14:57 7424]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [13.04.2009 14:54 17664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-rgadta.sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
TCP: {97E8AC16-ECB9-45C3-B923-8FD9AE60AE07} = 192.168.0.1
TCP: {D34C9E5F-25F1-4D18-9608-7A211A86BB03} = 192.168.0.1
FF - ProfilePath - c:\dokume~1\***\ANWEND~1\Mozilla\Firefox\Profiles\roystodq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.youtube.com/|http://lordaniel.bplaced.net/index.php?news|http://mail.google.com/mail/?shva=1#inbox|http://www.dota-league.com/
FF - plugin: c:\programme\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 13:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
geyekrepmqjpwq.dll 10000000    32768 \\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-22 13:37
ComboFix-quarantined-files.txt  2009-08-22 11:37

Vor Suchlauf: 8 Verzeichnis(se), 14.058.962.944 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 14.103.650.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /execute=optin /fastdetect /TUTag=TANVTM

262	--- E O F ---	2009-08-21 16:08
         
ich weis nich ob das jetzt viel hilft...

Sorry nochmal..


Alt 22.08.2009, 15:33   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Frage

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Wieso postest Du dasselbe Log nochmal??
Lösch bitte die noch auf dem Desktop vorhandene combofix.exe, lad es erneut herunter. Bitte diesmal drauf achten: Per Rechtsklick, Ziel speichern unter => Dateinamen "smss.exe" eingeben und dann die smss.exe ausführen - NICHT nachträglich umbenennen!
__________________
--> Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll

Alt 22.08.2009, 16:14   #7
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



so ich hab auf deinen KLICK link mit rechts draufgeklickt und dann gesagt "Ziel Speichern unter"
dann auf den Desktop gespeichert und nach dem ausführen hat sich die .exe wieder in ComboFix umbenannt

Nach dem Starten kam eine Meldung die ich mir auf ein Stück Papier notiert habe.
C:\Windows\system32\drivers\geyekrwbwixtun.sys
C:\Windows\system32\geyekrqparymrs.dll
C:\Windows\system32\geyersrskwbet.dat
C:\Windows\system32\geyekrepmqipwq.dll
C:\Windows\system32\geyekrvdksguji.dat

und hier der Log der danach ausgespuckt wurde

Code:
ATTFilter
ComboFix 09-08-21.02 - *** 22.08.2009 16:58.2.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2032.1692 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\smss.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\geyekrwbwixtun.sys
c:\windows\system32\geyekrepmqjpwq.dll
c:\windows\system32\geyekrqpavymrs.dll
c:\windows\system32\geyekrsrskwbet.dat
c:\windows\system32\geyekrvdksguji.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_geyekrftiltprr
-------\Legacy_geyekrftiltprr


(((((((((((((((((((((((   Dateien erstellt von 2009-07-22 bis 2009-08-22  ))))))))))))))))))))))))))))))
.

2009-08-22 10:04 . 2009-08-22 10:07	--------	d-----w-	c:\programme\trend micro
2009-08-22 10:04 . 2009-08-22 10:06	--------	d-----w-	C:\rsit
2009-08-21 20:20 . 2009-08-21 20:25	--------	d-----w-	c:\programme\Trojan Guarder Gold Version
2009-08-21 17:24 . 2009-08-22 09:20	117760	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-21 17:06 . 2008-04-15 13:36	69632	----a-w-	c:\windows\Alcmtr.exe
2009-08-18 14:22 . 2009-08-18 14:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\MAXON
2009-08-18 14:21 . 2004-03-29 14:23	90112	----a-w-	c:\windows\unvise32.exe
2009-08-18 14:19 . 2009-08-18 14:19	--------	d-----w-	c:\programme\C4D
2009-08-18 14:17 . 2009-08-18 14:23	--------	d-----w-	c:\programme\Cinema 4D
2009-08-13 14:57 . 2009-08-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-08-13 14:57 . 2009-08-13 14:57	--------	d-----w-	c:\programme\Paint.NET
2009-08-13 09:37 . 2009-08-21 16:47	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SecTaskMan
2009-08-12 16:40 . 2009-08-12 16:40	--------	d-s---w-	c:\dokumente und einstellungen\***\UserData
2009-08-12 11:13 . 2009-08-12 11:24	--------	d-----w-	c:\programme\SharePod
2009-08-11 21:56 . 2009-08-11 21:58	--------	d-----w-	c:\programme\ICQ6.5
2009-08-11 21:55 . 2009-08-11 21:57	--------	d-----w-	c:\programme\ICQ6
2009-08-11 19:44 . 2009-08-11 19:44	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DivX
2009-08-11 16:24 . 2009-08-22 12:04	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Winamp
2009-08-11 16:24 . 2009-08-11 16:24	--------	d-----w-	c:\programme\Winamp
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----r-	c:\programme\Skype
2009-08-06 14:51 . 2009-08-06 15:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-08-05 07:58 . 2009-08-05 08:27	--------	d-----w-	c:\programme\WinPcap
2009-08-04 10:42 . 2009-08-21 16:45	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\inkscape
2009-08-04 10:37 . 2009-08-21 16:46	--------	d-----w-	c:\programme\Inkscape
2009-07-29 20:58 . 2009-08-02 21:01	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2009-07-29 20:58 . 2009-07-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:45 . 2009-07-29 20:45	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:53	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:44	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Google Updater
2009-07-29 20:44 . 2009-07-29 20:46	--------	d-----w-	c:\programme\Google
2009-07-29 14:57 . 2009-07-29 14:57	2290688	----a-w-	c:\windows\system32\TUKernel.exe
2009-07-29 14:01 . 2009-04-27 12:21	28928	----a-w-	c:\windows\system32\uxtuneup.dll
2009-07-29 14:01 . 2009-07-29 14:01	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 14:48 . 2009-04-16 18:25	--------	d---a-w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TEMP
2009-08-22 14:48 . 2009-04-13 15:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-08-22 14:35 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Warcraft III
2009-08-22 10:57 . 2009-06-05 10:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TrackMania
2009-08-22 09:18 . 2009-04-13 15:59	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-08-21 17:53 . 2009-04-13 12:55	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-21 16:46 . 2009-04-13 15:05	--------	d-----w-	c:\programme\Image-Line
2009-08-20 07:42 . 2009-04-13 14:04	236128	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-19 18:36 . 2006-02-28 12:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-08-19 18:36 . 2006-02-28 12:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-08-19 09:31 . 2009-04-16 18:25	--------	d-----w-	c:\programme\Spyware Doctor
2009-08-18 14:17 . 2009-06-11 13:24	--------	d-----w-	c:\programme\gmax
2009-08-13 09:43 . 2009-05-03 10:18	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\CanonIJPLM
2009-08-11 16:07 . 2009-04-13 15:51	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Skype
2009-08-09 13:59 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-08-09 13:24 . 2009-04-13 15:45	--------	d-----w-	c:\programme\VirtualCloneDrive
2009-08-06 14:51 . 2009-04-13 15:47	--------	d-----w-	c:\programme\VideoLAN
2009-07-29 14:01 . 2009-04-13 13:42	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-07-29 14:01 . 2009-04-13 13:37	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-07-26 17:39 . 2009-06-06 17:54	256	----a-w-	c:\windows\system32\pool.bin
2009-07-12 19:25 . 2009-07-12 19:25	--------	d-----w-	c:\programme\YouTube Downloader3
2009-07-07 16:37 . 2009-04-14 15:41	--------	d-----w-	c:\programme\Funk Flitzer
2009-06-27 17:01 . 2009-05-01 14:19	--------	d-----w-	c:\programme\TrackMania United Forever
2009-06-24 17:53 . 2009-04-27 18:14	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-06 17:43 . 2009-06-06 17:43	69632	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\DesktopMgr.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
.

(((((((((((((((((((((((((((((   SnapShot@2009-08-22_11.34.56   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-22 14:55 . 2009-08-22 14:55	16384              c:\windows\Temp\Perflib_Perfdata_478.dat
+ 2009-04-13 12:51 . 2009-08-22 11:57	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-04-13 12:51 . 2009-08-22 10:52	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-04-13 12:51 . 2009-08-22 11:57	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-04-13 12:51 . 2009-08-22 10:52	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IRW"="c:\windows\system32\IRW.exe" [2008-04-15 147456]
"Apple_KbdMgr"="c:\programme\Boot Camp\KbdMgr.exe" [2008-04-15 423216]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"BlackBerryAutoUpdate"="c:\programme\Gemeinsame Dateien\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-03-19 615696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2006-02-28 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Warkeys Update.lnk - c:\programme\Warcraft III\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2008-3-9 240640]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Trojan Guarder Gold Version.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Trojan Guarder Gold Version.lnk
backup=c:\windows\pss\Trojan Guarder Gold Version.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Warcraft III\\listchecker\\pickup.listchecker.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TrackMania United Forever\\TmForever.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.05.2009 20:59 130936]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [15.04.2008 16:44 132400]
R2 AppleTimeSrv;Apple-Time-Server;c:\windows\system32\AppleTimeSrv.exe [15.04.2008 16:44 99632]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [15.04.2008 16:44 5504]
R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [15.04.2008 16:44 6528]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [13.04.2009 15:42 604416]
R3 applebt;Apple Built-in Bluetooth;c:\windows\system32\drivers\applebt.sys [13.04.2009 14:55 9088]
R3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\drivers\IRFilter.sys [13.04.2009 14:57 16512]
R3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [13.04.2009 14:58 19968]
S2 gupdate1ca108d710a1fc4;Google Update Service (gupdate1ca108d710a1fc4);c:\programme\Google\Update\GoogleUpdate.exe [29.07.2009 22:44 133104]
S3 BthKicker;Apple Bluetooth Device Driver;c:\windows\system32\drivers\BthKicker.sys [13.04.2009 14:57 7424]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [13.04.2009 14:54 17664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [16.04.2009 20:25 348752]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
TCP: {97E8AC16-ECB9-45C3-B923-8FD9AE60AE07} = 192.168.0.1
TCP: {D34C9E5F-25F1-4D18-9608-7A211A86BB03} = 192.168.0.1
FF - ProfilePath - c:\dokume~1\***\ANWEND~1\Mozilla\Firefox\Profiles\roystodq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.youtube.com/|h**p://lordaniel.bplaced.net/index.php?news|h**p://mail.google.com/mail/?shva=1#inbox|h**p://www.dota-league.com/
FF - plugin: c:\programme\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.h**p.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-08-22 17:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1620)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-22 17:04
ComboFix-quarantined-files.txt  2009-08-22 15:04
ComboFix2.txt  2009-08-22 14:23

Vor Suchlauf: 8 Verzeichnis(se), 14.079.848.448 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 14.034.407.424 Bytes frei

261	--- E O F ---	2009-08-21 16:08
         
PS: Frage: Warum muss man die Datei in smss.exe speichern?

Geändert von Styggi (22.08.2009 um 16:24 Uhr)

Alt 22.08.2009, 18:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Icon32

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Zitat:
Zitat von Styggi Beitrag anzeigen
PS: Frage: Warum muss man die Datei in smss.exe speichern?

Ich hab Dich ganz am Anfang drauf hingewiesen, die Anleitung zu Combofix ganz genau durchzulesen. Hättest Du das gemacht, hättest Du

1. schon beim ersten mal combofix umbenannt
2. diese Frage jetzt nicht gestellt. Oder ist Dir was unklar?

Das Log schau ich mir gleich mal in Ruhe an.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.08.2009, 18:36   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Pfeil

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Ich brauch mehr Infos.

Bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.08.2009, 19:43   #10
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Okay Ich hab nochmal alles gemacht was in der Anweisung stand.
Hier sind die Logs: http://www.file-upload.net/download-...-Logs.rar.html

Alt 23.08.2009, 14:53   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Ausrufezeichen

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
c:\dokumente und einstellungen\janjeah\lokale einstellungen\anwendungsdaten\qssykus.exe
         
Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qssykus

files to delete:
c:\dokumente und einstellungen\janjeah\lokale einstellungen\anwendungsdaten\qssykus.exe
c:\windows\systemls.exe
c:\windows\system32\drivers\hfxk.sys
c:\windows\system32\geyekrepmqjpwq.dll
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.08.2009, 17:05   #12
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Schau dir das mal an
http://img33.imageshack.us/img33/4494/noqssykus.jpg
Auf dem Pfad gibt es keine qssykus.exe
Ich hab erst mal nicht mit avenger weitergemacht

Alt 23.08.2009, 20:54   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Ignoriere bitte das Nichtvorhandensein der Datei, mach dann einfach mit dem Avenger weiter - einfach das reinkopieren, was ich da in Codetags gepostet hab.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.08.2009, 21:16   #14
Styggi
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Standard

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun Aug 23 22:12:53 2009

22:12:53: Error: Could not register cleanup.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\dokumente und einstellungen\janjeah\lokale einstellungen\anwendungsdaten\qssykus.exe" not found!
Deletion of file "c:\dokumente und einstellungen\janjeah\lokale einstellungen\anwendungsdaten\qssykus.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\systemls.exe" not found!
Deletion of file "c:\windows\systemls.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\hfxk.sys" not found!
Deletion of file "c:\windows\system32\drivers\hfxk.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\geyekrepmqjpwq.dll" not found!
Deletion of file "c:\windows\system32\geyekrepmqjpwq.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qssykus" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 24.08.2009, 19:27   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.TDSS   \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Cool

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll



Is okay

Der Avenger hat nur noch den verwaisten Registry-Eintrag geklscht, die Dateien waren nicht mehr vorhanden.

Meld Dich bei weiteren Problemen nochmal.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll
angezeigt, beiträge, board, computer, einzelne, einzelnen, folge, folgende, free, gelöscht, gesuch, gesucht, google, hoffe, laufen, nichts, probleme, richtig, system32, tipps, tools, trojan.tdss, trojaner, trojaner board, trojanern, version



Ähnliche Themen: Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll


  1. Trojan.Tdss-7762 und Trojan.Generic.FakeAV.WKA unter Vista
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (20)
  2. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  3. Entfernung Trojan.Heur.Vundo.cu4@d4CKyXk sowie Trojan.Tdss.153
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (1)
  4. Trojan.Generic.2913791 in <System>=>globalroot\systemroot\system32\H8SRTumybfdopyx.dl
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  5. TR/PCK.tdss.Z.230 in system32\tdlclk.dll
    Log-Analyse und Auswertung - 11.12.2009 (35)
  6. Trojan.TDss!K - Packed.Win32.Tdss!IK - und wer weiß was noch alles!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  7. TR/PCK.tdss.Z.230 in system32\tdlclk.dll entdeckt
    Log-Analyse und Auswertung - 25.11.2009 (1)
  8. globalroot/systemroot/system32/gasvkyviextpqs.dll
    Plagegeister aller Art und deren Bekämpfung - 07.10.2009 (37)
  9. globalroot\systemroot\system32\SKYNETueityvjt.dll
    Plagegeister aller Art und deren Bekämpfung - 07.09.2009 (28)
  10. \\?\globalroot\systemroot\system32\... infos nötig
    Diskussionsforum - 07.09.2009 (4)
  11. TR/TDss.WP.1 - C:\Windows\System32\kbiwkmsdipmfrw.dll
    Plagegeister aller Art und deren Bekämpfung - 04.09.2009 (8)
  12. "Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (9)
  13. virus in //?/globalroot/systemroot/
    Log-Analyse und Auswertung - 25.07.2009 (18)
  14. rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"
    Log-Analyse und Auswertung - 22.07.2009 (4)
  15. globalroot/systemroot/system32/SKYNETvrdltpu.dll ist das ein Virus?
    Log-Analyse und Auswertung - 12.07.2009 (1)
  16. system32\SKYNETyygvpwwi.dll (Trojan.TDSS)
    Plagegeister aller Art und deren Bekämpfung - 03.07.2009 (0)
  17. Bitte um Hilfe! Was ist : %systemroot%\system32\dumprep 0 -k
    Log-Analyse und Auswertung - 15.12.2004 (3)

Zum Thema Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll - Hallo! Ich habe seit geraumer Zeit Probleme mit einem Trojaner den ich nicht gelöscht bekomme.. \\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll Der Pfad wird angezeigt ohne C: oder D: Laufwerk... ich habe bereits in Google - Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll...
Archiv
Du betrachtest: Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.