Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll

Styggi · 22.08.2009, 11:48

Hallo!

Ich habe seit geraumer Zeit Probleme mit einem Trojaner den ich nicht gelöscht bekomme..
\\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll
Der Pfad wird angezeigt ohne C: oder D: Laufwerk...
ich habe bereits in Google gesucht nach einer geyekrepmqjpwq.dll aber ich wurde leider nicht fündig
Im Trojaner Board hab ich leider auch nichts finden können wobei ich mich durch einzelne Beiträge durchgeklickt und dabei einzelnen Tipps gefolgt bin.
Leider ohne Erfolg

Ich habe folgende Virusprogramme:
-PC Tools SpywareDoctor
-CCleaner
-Malwarebytes' Ante-Malware (von Trojaner Board heruntergeladen)
-SuperAntiSpyware FREE Edition
-Trojan Guarder Gold Version (gefunden in: http://www.trojaner-board.de/7887-hilfe-hab-mir-einen-trojaner-eingefangen.html)

Habe bereits mindestens 4 mal die oben genannten 4 Programme über den Computer laufen lassen aber der Trojaner bleibt vorhanden...
Ich kenne mich leider nicht richtig mit Trojanern aus und auch nicht mit Spyware Logs deswegen hoffe ich hier auf professionelle Hilfe
Vielen Dank schon mal im Vorraus

Gruß Styggi

cosinus · 22.08.2009, 12:13

Hallo und

Zitat:

Ich habe seit geraumer Zeit Probleme mit einem Trojaner den ich nicht gelöscht bekomme..
\\?\globalroot\systemroot\system32\geyekrepmqjpwq. dll
Der Pfad wird angezeigt ohne C: oder D: Laufwerk...
ich habe bereits in Google gesucht nach einer geyekrepmqjpwq.dll aber ich wurde leider nicht fündig

Systemroot deutet immer auf die Systempartition (idR C:\) hin. Bei Google wirst Du selten fündig über den exakten Dateinamen, da die Schädlinge Zufallskombinationen für den Dateinamen verwenden, der ist idR auch einmalig.

Da die anderen Tools erstmal sich die Zähne am mutmaßlichen Rootkit ausbeißen, schlage ich mal zuerst einen Durchlauf mit Combofix vor. Bitte genau lesen und so handeln!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

[/QUOTE]

Styggi · 22.08.2009, 13:02

Hier is der Code aus Combofix.txt

Code:

ATTFilter

ComboFix 09-08-21.02 - JanJeah 22.08.2009 13:28.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2032.1582 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\JanJeah\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\atari-kids.ttf
c:\windows\Fonts\GUNSHIP2.TTF
c:\windows\Fonts\insomnia.ttf
c:\windows\Fonts\PHASE05_.TTF
c:\windows\system32\Plugins
c:\windows\system32\Plugins\YCPlugins\rapidshare.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-07-22 bis 2009-08-22  ))))))))))))))))))))))))))))))
.

2009-08-22 10:04 . 2009-08-22 10:07	--------	d-----w-	c:\programme\trend micro
2009-08-22 10:04 . 2009-08-22 10:06	--------	d-----w-	C:\rsit
2009-08-21 20:20 . 2009-08-21 20:25	--------	d-----w-	c:\programme\Trojan Guarder Gold Version
2009-08-21 17:24 . 2009-08-22 09:20	117760	----a-w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-21 17:06 . 2008-04-15 13:36	69632	----a-w-	c:\windows\Alcmtr.exe
2009-08-18 14:22 . 2009-08-18 14:22	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\MAXON
2009-08-18 14:21 . 2004-03-29 14:23	90112	----a-w-	c:\windows\unvise32.exe
2009-08-18 14:19 . 2009-08-18 14:19	--------	d-----w-	c:\programme\C4D
2009-08-18 14:17 . 2009-08-18 14:23	--------	d-----w-	c:\programme\Cinema 4D
2009-08-13 14:57 . 2009-08-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-08-13 14:57 . 2009-08-13 14:57	--------	d-----w-	c:\programme\Paint.NET
2009-08-13 09:37 . 2009-08-21 16:47	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SecTaskMan
2009-08-12 16:40 . 2009-08-12 16:40	--------	d-s---w-	c:\dokumente und einstellungen\JanJeah\UserData
2009-08-12 11:13 . 2009-08-12 11:24	--------	d-----w-	c:\programme\SharePod
2009-08-11 21:56 . 2009-08-11 21:58	--------	d-----w-	c:\programme\ICQ6.5
2009-08-11 21:55 . 2009-08-11 21:57	--------	d-----w-	c:\programme\ICQ6
2009-08-11 19:44 . 2009-08-11 19:44	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\DivX
2009-08-11 16:24 . 2009-08-22 09:18	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Winamp
2009-08-11 16:24 . 2009-08-11 16:24	--------	d-----w-	c:\programme\Winamp
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----r-	c:\programme\Skype
2009-08-06 14:51 . 2009-08-06 15:17	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\vlc
2009-08-05 07:58 . 2009-08-05 08:27	--------	d-----w-	c:\programme\WinPcap
2009-08-04 10:42 . 2009-08-21 16:45	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\inkscape
2009-08-04 10:37 . 2009-08-21 16:46	--------	d-----w-	c:\programme\Inkscape
2009-07-29 20:58 . 2009-08-02 21:01	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\Temp
2009-07-29 20:58 . 2009-07-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:45 . 2009-07-29 20:45	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:53	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:44	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Google Updater
2009-07-29 20:44 . 2009-07-29 20:46	--------	d-----w-	c:\programme\Google
2009-07-29 14:57 . 2009-07-29 14:57	2290688	----a-w-	c:\windows\system32\TUKernel.exe
2009-07-29 14:01 . 2009-04-27 12:21	28928	----a-w-	c:\windows\system32\uxtuneup.dll
2009-07-29 14:01 . 2009-07-29 14:01	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 11:27 . 2009-04-16 18:25	--------	d---a-w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TEMP
2009-08-22 11:16 . 2009-04-13 15:52	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Skype
2009-08-22 10:57 . 2009-06-05 10:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TrackMania
2009-08-22 09:18 . 2009-04-13 15:59	--------	d-----w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\skypePM
2009-08-21 22:23 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Warcraft III
2009-08-21 17:53 . 2009-04-13 12:55	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-21 16:46 . 2009-04-13 15:05	--------	d-----w-	c:\programme\Image-Line
2009-08-20 07:42 . 2009-04-13 14:04	236128	----a-w-	c:\dokumente und einstellungen\JanJeah\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-19 18:36 . 2006-02-28 12:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-08-19 18:36 . 2006-02-28 12:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-08-19 09:31 . 2009-04-16 18:25	--------	d-----w-	c:\programme\Spyware Doctor
2009-08-18 14:17 . 2009-06-11 13:24	--------	d-----w-	c:\programme\gmax
2009-08-13 09:43 . 2009-05-03 10:18	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\CanonIJPLM
2009-08-11 16:07 . 2009-04-13 15:51	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Skype
2009-08-09 13:59 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-08-09 13:24 . 2009-04-13 15:45	--------	d-----w-	c:\programme\VirtualCloneDrive
2009-08-06 14:51 . 2009-04-13 15:47	--------	d-----w-	c:\programme\VideoLAN
2009-07-29 14:01 . 2009-04-13 13:42	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-07-29 14:01 . 2009-04-13 13:37	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-07-26 17:39 . 2009-06-06 17:54	256	----a-w-	c:\windows\system32\pool.bin
2009-07-12 19:25 . 2009-07-12 19:25	--------	d-----w-	c:\programme\YouTube Downloader3
2009-07-07 16:37 . 2009-04-14 15:41	--------	d-----w-	c:\programme\Funk Flitzer
2009-06-27 17:01 . 2009-05-01 14:19	--------	d-----w-	c:\programme\TrackMania United Forever
2009-06-24 17:53 . 2009-04-27 18:14	1	----a-w-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-06 17:43 . 2009-06-06 17:43	69632	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\DesktopMgr.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\JanJeah\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IRW"="c:\windows\system32\IRW.exe" [2008-04-15 147456]
"Apple_KbdMgr"="c:\programme\Boot Camp\KbdMgr.exe" [2008-04-15 423216]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"BlackBerryAutoUpdate"="c:\programme\Gemeinsame Dateien\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-03-19 615696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2006-02-28 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\JanJeah\Startmen\Programme\Autostart\
Warkeys Update.lnk - c:\programme\Warcraft III\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2008-3-9 240640]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Trojan Guarder Gold Version.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Trojan Guarder Gold Version.lnk
backup=c:\windows\pss\Trojan Guarder Gold Version.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^JanJeah^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\JanJeah\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Warcraft III\\listchecker\\pickup.listchecker.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TrackMania United Forever\\TmForever.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.05.2009 20:59 130936]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [15.04.2008 16:44 132400]
R2 AppleTimeSrv;Apple-Time-Server;c:\windows\system32\AppleTimeSrv.exe [15.04.2008 16:44 99632]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [15.04.2008 16:44 5504]
R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [15.04.2008 16:44 6528]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [16.04.2009 20:25 348752]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [13.04.2009 15:42 604416]
R3 applebt;Apple Built-in Bluetooth;c:\windows\system32\drivers\applebt.sys [13.04.2009 14:55 9088]
R3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\drivers\IRFilter.sys [13.04.2009 14:57 16512]
R3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [13.04.2009 14:58 19968]
S2 gupdate1ca108d710a1fc4;Google Update Service (gupdate1ca108d710a1fc4);c:\programme\Google\Update\GoogleUpdate.exe [29.07.2009 22:44 133104]
S3 BthKicker;Apple Bluetooth Device Driver;c:\windows\system32\drivers\BthKicker.sys [13.04.2009 14:57 7424]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [13.04.2009 14:54 17664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-rgadta.sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
TCP: {97E8AC16-ECB9-45C3-B923-8FD9AE60AE07} = 192.168.0.1
TCP: {D34C9E5F-25F1-4D18-9608-7A211A86BB03} = 192.168.0.1
FF - ProfilePath - c:\dokume~1\JanJeah\ANWEND~1\Mozilla\Firefox\Profiles\roystodq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.youtube.com/|http://lordaniel.bplaced.net/index.php?news|http://mail.google.com/mail/?shva=1#inbox|http://www.dota-league.com/
FF - plugin: c:\programme\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 13:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
geyekrepmqjpwq.dll 10000000    32768 \\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-22 13:37
ComboFix-quarantined-files.txt  2009-08-22 11:37

Vor Suchlauf: 8 Verzeichnis(se), 14.058.962.944 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 14.103.650.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /execute=optin /fastdetect /TUTag=TANVTM

262	--- E O F ---	2009-08-21 16:08

Nach dem Neustart den Combofix durchgeführt hat sind die Netzwerkeinstellungen nicht mehr vorhanden gewesen
ich hab dann den Computer nochmal Neugestartet und sie waren wieder da..
weis nich ob das ausschlaggebend für irgendwas ist.
Ich wollts nur gesagt haben

cosinus · 22.08.2009, 15:15

Zitat:

ausgeführt von:: c:\dokumente und einstellungen\JanJeah\Desktop\ComboFix.exe

hast Du die ComboFix.exe garnicht umbenannt?

Styggi · 22.08.2009, 15:25

oh mann ich idiot natürlich..
entschuldigung is mir entfallen...

Code:

ATTFilter

ComboFix 09-08-21.02 - *** 22.08.2009 13:28.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2032.1582 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\atari-kids.ttf
c:\windows\Fonts\GUNSHIP2.TTF
c:\windows\Fonts\insomnia.ttf
c:\windows\Fonts\PHASE05_.TTF
c:\windows\system32\Plugins
c:\windows\system32\Plugins\YCPlugins\rapidshare.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-07-22 bis 2009-08-22  ))))))))))))))))))))))))))))))
.

2009-08-22 10:04 . 2009-08-22 10:07	--------	d-----w-	c:\programme\trend micro
2009-08-22 10:04 . 2009-08-22 10:06	--------	d-----w-	C:\rsit
2009-08-21 20:20 . 2009-08-21 20:25	--------	d-----w-	c:\programme\Trojan Guarder Gold Version
2009-08-21 17:24 . 2009-08-22 09:20	117760	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-21 17:20 . 2009-08-21 17:20	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-21 17:20 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-21 17:06 . 2008-04-15 13:36	69632	----a-w-	c:\windows\Alcmtr.exe
2009-08-18 14:22 . 2009-08-18 14:22	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\MAXON
2009-08-18 14:21 . 2004-03-29 14:23	90112	----a-w-	c:\windows\unvise32.exe
2009-08-18 14:19 . 2009-08-18 14:19	--------	d-----w-	c:\programme\C4D
2009-08-18 14:17 . 2009-08-18 14:23	--------	d-----w-	c:\programme\Cinema 4D
2009-08-13 14:57 . 2009-08-21 19:16	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-08-13 14:57 . 2009-08-13 14:57	--------	d-----w-	c:\programme\Paint.NET
2009-08-13 09:37 . 2009-08-21 16:47	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\SecTaskMan
2009-08-12 16:40 . 2009-08-12 16:40	--------	d-s---w-	c:\dokumente und einstellungen\***\UserData
2009-08-12 11:13 . 2009-08-12 11:24	--------	d-----w-	c:\programme\SharePod
2009-08-11 21:56 . 2009-08-11 21:58	--------	d-----w-	c:\programme\ICQ6.5
2009-08-11 21:55 . 2009-08-11 21:57	--------	d-----w-	c:\programme\ICQ6
2009-08-11 19:44 . 2009-08-11 19:44	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\DivX
2009-08-11 16:24 . 2009-08-22 09:18	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Winamp
2009-08-11 16:24 . 2009-08-11 16:24	--------	d-----w-	c:\programme\Winamp
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-11 16:07 . 2009-08-11 16:07	--------	d-----r-	c:\programme\Skype
2009-08-06 14:51 . 2009-08-06 15:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-08-05 07:58 . 2009-08-05 08:27	--------	d-----w-	c:\programme\WinPcap
2009-08-04 10:42 . 2009-08-21 16:45	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\inkscape
2009-08-04 10:37 . 2009-08-21 16:46	--------	d-----w-	c:\programme\Inkscape
2009-07-29 20:58 . 2009-08-02 21:01	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2009-07-29 20:58 . 2009-07-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:45 . 2009-07-29 20:45	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:53	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google
2009-07-29 20:44 . 2009-07-29 20:44	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Google Updater
2009-07-29 20:44 . 2009-07-29 20:46	--------	d-----w-	c:\programme\Google
2009-07-29 14:57 . 2009-07-29 14:57	2290688	----a-w-	c:\windows\system32\TUKernel.exe
2009-07-29 14:01 . 2009-04-27 12:21	28928	----a-w-	c:\windows\system32\uxtuneup.dll
2009-07-29 14:01 . 2009-07-29 14:01	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 11:27 . 2009-04-16 18:25	--------	d---a-w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TEMP
2009-08-22 11:16 . 2009-04-13 15:52	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-08-22 10:57 . 2009-06-05 10:43	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\TrackMania
2009-08-22 09:18 . 2009-04-13 15:59	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-08-21 22:23 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Warcraft III
2009-08-21 17:53 . 2009-04-13 12:55	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-21 16:46 . 2009-04-13 15:05	--------	d-----w-	c:\programme\Image-Line
2009-08-20 07:42 . 2009-04-13 14:04	236128	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-19 18:36 . 2006-02-28 12:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-08-19 18:36 . 2006-02-28 12:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-08-19 09:31 . 2009-04-16 18:25	--------	d-----w-	c:\programme\Spyware Doctor
2009-08-18 14:17 . 2009-06-11 13:24	--------	d-----w-	c:\programme\gmax
2009-08-13 09:43 . 2009-05-03 10:18	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\CanonIJPLM
2009-08-11 16:07 . 2009-04-13 15:51	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Skype
2009-08-09 13:59 . 2009-04-13 16:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-08-09 13:24 . 2009-04-13 15:45	--------	d-----w-	c:\programme\VirtualCloneDrive
2009-08-06 14:51 . 2009-04-13 15:47	--------	d-----w-	c:\programme\VideoLAN
2009-07-29 14:01 . 2009-04-13 13:42	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-07-29 14:01 . 2009-04-13 13:37	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-07-26 17:39 . 2009-06-06 17:54	256	----a-w-	c:\windows\system32\pool.bin
2009-07-12 19:25 . 2009-07-12 19:25	--------	d-----w-	c:\programme\YouTube Downloader3
2009-07-07 16:37 . 2009-04-14 15:41	--------	d-----w-	c:\programme\Funk Flitzer
2009-06-27 17:01 . 2009-05-01 14:19	--------	d-----w-	c:\programme\TrackMania United Forever
2009-06-24 17:53 . 2009-04-27 18:14	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-06 17:43 . 2009-06-06 17:43	69632	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\DesktopMgr.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE2_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE1_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	6502	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\RedirectorEXE_770DFD1204C24F4DA163D64FACCB5CBD.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut600_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut60_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut6_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut5_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut4_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut3_C6ABA3677F944B9FBB00F060701B0B5A.exe
2009-06-06 17:43 . 2009-06-06 17:43	26694	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{F9EEE97F-A2BD-455C-B532-938A5601F492}\NewShortcut12_C6ABA3677F944B9FBB00F060701B0B5A.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-01-29 23975720]
"ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IRW"="c:\windows\system32\IRW.exe" [2008-04-15 147456]
"Apple_KbdMgr"="c:\programme\Boot Camp\KbdMgr.exe" [2008-04-15 423216]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"BlackBerryAutoUpdate"="c:\programme\Gemeinsame Dateien\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-03-19 615696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2006-02-28 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Warkeys Update.lnk - c:\programme\Warcraft III\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2008-3-9 240640]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Trojan Guarder Gold Version.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Trojan Guarder Gold Version.lnk
backup=c:\windows\pss\Trojan Guarder Gold Version.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Warcraft III\\listchecker\\pickup.listchecker.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TrackMania United Forever\\TmForever.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [09.05.2009 20:59 130936]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [15.04.2008 16:44 132400]
R2 AppleTimeSrv;Apple-Time-Server;c:\windows\system32\AppleTimeSrv.exe [15.04.2008 16:44 99632]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [15.04.2008 16:44 5504]
R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [15.04.2008 16:44 6528]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [16.04.2009 20:25 348752]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [13.04.2009 15:42 604416]
R3 applebt;Apple Built-in Bluetooth;c:\windows\system32\drivers\applebt.sys [13.04.2009 14:55 9088]
R3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\drivers\IRFilter.sys [13.04.2009 14:57 16512]
R3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\drivers\KeyMagic.sys [13.04.2009 14:58 19968]
S2 gupdate1ca108d710a1fc4;Google Update Service (gupdate1ca108d710a1fc4);c:\programme\Google\Update\GoogleUpdate.exe [29.07.2009 22:44 133104]
S3 BthKicker;Apple Bluetooth Device Driver;c:\windows\system32\drivers\BthKicker.sys [13.04.2009 14:57 7424]
S3 iSightUpdate;iSight Update Driver;c:\windows\system32\drivers\iSightUP.sys [13.04.2009 14:54 17664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-rgadta.sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
TCP: {97E8AC16-ECB9-45C3-B923-8FD9AE60AE07} = 192.168.0.1
TCP: {D34C9E5F-25F1-4D18-9608-7A211A86BB03} = 192.168.0.1
FF - ProfilePath - c:\dokume~1\***\ANWEND~1\Mozilla\Firefox\Profiles\roystodq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.youtube.com/|http://lordaniel.bplaced.net/index.php?news|http://mail.google.com/mail/?shva=1#inbox|http://www.dota-league.com/
FF - plugin: c:\programme\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 13:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
geyekrepmqjpwq.dll 10000000    32768 \\?\globalroot\systemroot\system32\geyekrepmqjpwq.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-22 13:37
ComboFix-quarantined-files.txt  2009-08-22 11:37

Vor Suchlauf: 8 Verzeichnis(se), 14.058.962.944 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 14.103.650.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /execute=optin /fastdetect /TUTag=TANVTM

262	--- E O F ---	2009-08-21 16:08

ich weis nich ob das jetzt viel hilft...

Sorry nochmal..

cosinus · 22.08.2009, 15:33

Wieso postest Du dasselbe Log nochmal??

Lösch bitte die noch auf dem Desktop vorhandene combofix.exe, lad es erneut herunter. Bitte diesmal drauf achten: Per Rechtsklick, Ziel speichern unter => Dateinamen "smss.exe" eingeben und dann die smss.exe ausführen - NICHT nachträglich umbenennen!

Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll

Plagegeister aller Art und deren Bekämpfung: Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll