figaro.sys, beep.sys, braviax.exe, wisdstr.exe Befall

12bPilot · 02.09.2009, 10:42

Hallo

Ich hab mir gestern Malware eingefangen.
Spyware Terminator, Avast, etc erkennen zwar diese, doch bei einem Reboot des PCs sind die eigentlich gelöschten Files wieder im System.

Hier der log von Combofix:

Code:

ATTFilter

ComboFix 09-09-01.04 - Besitzer 02.09.2009 11:20.4.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.41.1031.18.2047.1352 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 090901-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Besitzer\delself.bat
c:\windows\system32\braviax.exe
c:\windows\system32\dllcache\beep.sys
c:\windows\system32\dllcache\figaro.sys
c:\windows\system32\wisdstr.exe

Infizierte Kopie von c:\windows\system32\drivers\beep.sys wurde gefunden und desinfiziert 
Kopie von - c:\system volume information\_restore{E74E6B01-DC59-49CC-9D2A-CD9CCCA25BFA}\RP61\A0017714.sys wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2009-08-02 bis 2009-09-02  ))))))))))))))))))))))))))))))
.

2009-09-02 09:25 . 2006-02-28 12:00	4224	----a-w-	c:\windows\system32\drivers\beep.sys
2009-09-01 19:42 . 2009-08-17 16:04	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-09-01 19:42 . 2009-08-17 16:04	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-09-01 19:42 . 2009-08-17 16:03	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-09-01 19:42 . 2009-08-17 16:02	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-09-01 19:42 . 2009-08-17 16:06	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-09-01 19:42 . 2009-08-17 16:06	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-09-01 19:42 . 2009-08-17 16:05	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-09-01 19:42 . 2009-08-17 16:05	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-09-01 19:42 . 2009-08-17 16:10	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-09-01 19:42 . 2003-03-18 20:20	1060864	----a-w-	c:\windows\system32\MFC71.dll
2009-09-01 19:42 . 2009-09-01 19:42	--------	d-----w-	c:\programme\Alwil Software
2009-09-01 19:07 . 2009-09-01 19:07	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-09-01 19:07 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-01 19:07 . 2009-09-01 19:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-01 19:07 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-01 19:07 . 2009-09-01 19:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-09-01 18:40 . 2009-09-01 18:40	29216	----a-w-	c:\dokumente und einstellungen\Besitzer\sys32_nov.exe
2009-09-01 18:40 . 2009-09-01 18:40	29216	----a-w-	c:\windows\system32\sys32_nov.exe
2009-08-23 12:39 . 2009-08-23 13:20	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Zattoo
2009-08-18 16:45 . 2008-06-06 09:59	308864	----a-w-	c:\windows\system32\drivers\rtl8185.sys
2009-08-18 16:45 . 2006-11-15 14:23	38144	----a-r-	c:\windows\system32\drivers\EAPPkt.sys
2009-08-18 16:45 . 2002-10-02 07:57	13532	----a-w-	c:\windows\system32\drivers\SjyPkt.sys
2009-08-18 16:45 . 2009-08-18 16:45	--------	d-----w-	c:\programme\ZyXEL
2009-08-18 10:46 . 2009-03-26 23:16	12672	----a-w-	c:\windows\system32\drivers\cpuz132_x32.sys
2009-08-18 10:46 . 2009-08-18 10:46	--------	d-----w-	c:\programme\CPUID
2009-08-18 08:08 . 2009-08-18 08:08	229376	----a-w-	c:\windows\system32\wifiman.dll
2009-08-18 08:02 . 2009-08-18 08:02	21035	----a-w-	c:\windows\system32\drivers\AegisP.sys
2009-08-17 15:42 . 2009-08-17 15:42	--------	d-----w-	c:\programme\Guitar Pro 5
2009-08-16 18:12 . 2009-08-16 18:12	27006	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{A06A6679-41D7-48C5-82F8-7D3B0B654720}\NewShortcut4_8030F19A553E4835B5F035D4276790A7.exe
2009-08-16 18:12 . 2009-08-16 18:12	27006	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{A06A6679-41D7-48C5-82F8-7D3B0B654720}\NewShortcut3_A2F2C2D876F44DC0B4D6FF6940E88C03.exe
2009-08-16 18:12 . 2009-08-16 18:12	27006	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{A06A6679-41D7-48C5-82F8-7D3B0B654720}\NewShortcut2_26DC43EB77CF4E29AD5B37676CDD13D2.exe
2009-08-16 18:12 . 2009-08-16 18:12	27006	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{A06A6679-41D7-48C5-82F8-7D3B0B654720}\NewShortcut1_A103B1EA31E34C9C824F18268B22A933.exe
2009-08-16 18:12 . 2009-08-16 18:12	27006	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{A06A6679-41D7-48C5-82F8-7D3B0B654720}\ARPPRODUCTICON.exe
2009-08-16 18:11 . 2009-08-16 18:12	--------	d-----w-	c:\programme\HiFiUninstaller
2009-08-16 18:11 . 2009-08-16 18:11	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\HiFi
2009-08-15 19:12 . 2009-08-15 19:15	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Amazon
2009-08-15 19:11 . 2009-08-15 19:11	--------	d-----w-	c:\programme\Amazon
2009-08-04 21:12 . 2009-08-04 21:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Digidesign
2009-08-04 20:41 . 2005-05-09 18:08	33792	----a-w-	c:\windows\system32\drivers\cledx.sys
2009-08-04 20:40 . 2002-11-25 03:46	16896	----a-w-	c:\windows\system32\drivers\synasUSB.sys
2009-08-04 20:40 . 2002-11-25 06:36	45056	----a-w-	c:\windows\system32\Synsopos.exe
2009-08-04 20:40 . 2004-05-10 13:58	147456	----a-w-	c:\windows\system32\SynsoLChk.dll
2009-08-04 20:40 . 2009-08-04 20:41	--------	d-----w-	c:\programme\Syncrosoft
2009-08-04 20:40 . 2005-10-17 07:35	704512	----a-w-	c:\windows\system32\SYNSOACC.dll
2009-08-04 18:18 . 2009-08-04 18:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems
2009-08-04 13:54 . 2006-07-07 11:16	69632	----a-w-	c:\windows\system32\NI_DFD_1_2_9.dll
2009-08-04 13:23 . 2009-08-04 13:23	0	----a-w-	c:\windows\system32\cd.dat
2009-08-04 13:12 . 2009-08-04 13:12	--------	d-----w-	c:\programme\ASIO4ALL v2
2009-08-04 12:52 . 2009-08-04 12:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\Steinberg
2009-08-04 12:52 . 2009-08-04 21:15	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Steinberg
2009-08-04 12:40 . 2009-08-04 17:13	--------	d-----w-	c:\programme\Drumagog40
2009-08-04 12:40 . 2009-08-04 20:43	--------	d-----w-	c:\programme\Steinberg

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-02 09:28 . 2009-09-02 09:28	191159	----a-w-	c:\windows\system32\wisdstr.exe
2009-09-02 09:28 . 2009-09-02 09:28	11264	----a-w-	c:\windows\system32\braviax.exe
2009-09-02 09:28 . 2009-09-02 09:28	138	----a-w-	c:\dokumente und einstellungen\Besitzer\delself.bat
2009-09-01 21:41 . 2009-07-17 18:30	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2009-09-01 20:33 . 2008-02-26 16:06	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-09-01 13:14 . 2008-05-01 11:25	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\uTorrent
2009-09-01 08:41 . 2008-07-31 04:54	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-08-18 19:01 . 2008-10-13 18:40	1	----a-w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-08-18 16:45 . 2007-10-18 07:38	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-17 15:45 . 2007-10-18 08:05	81952	----a-w-	c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-17 14:24 . 2007-10-23 18:31	--------	d-----w-	c:\programme\GlobalMapper8
2009-08-17 08:51 . 2008-05-12 12:59	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FileZilla
2009-08-14 04:58 . 2009-09-01 19:39	7396	----a-w-	c:\windows\system32\drivers\pctcore.cat
2009-08-08 13:09 . 2008-09-28 10:40	81552	----a-w-	c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-05 12:03 . 2009-05-15 08:37	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-04 20:48 . 2008-02-26 20:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-08-04 20:48 . 2008-02-26 20:37	--------	d-----w-	c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-08-04 20:35 . 2007-10-18 09:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-08-04 17:13 . 2008-05-25 16:19	737280	----a-w-	c:\windows\iun6002.exe
2009-08-02 23:29 . 2009-08-02 23:19	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\ImgBurn
2009-08-02 19:54 . 2009-08-02 19:54	--------	d-----w-	c:\programme\AviSynth 2.5
2009-08-02 13:12 . 2008-12-13 19:00	--------	d-----w-	c:\programme\GlobalMapper10
2009-08-02 10:34 . 2009-08-02 10:25	--------	d-----w-	c:\programme\DAEMON Tools Pro
2009-08-02 10:34 . 2009-01-10 15:52	--------	d-----w-	c:\programme\MagicISO
2009-08-02 10:27 . 2009-08-02 10:26	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DAEMON Tools Pro
2009-07-31 14:44 . 2009-07-31 14:42	--------	d-----w-	c:\programme\SBuilderX
2009-07-31 14:42 . 2009-07-31 14:42	1406	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{8C6A38A3-E164-446F-9922-9335AC71C53F}\_C354B595B744BA68E60A7D.exe
2009-07-31 14:42 . 2009-07-31 14:42	1406	----a-r-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{8C6A38A3-E164-446F-9922-9335AC71C53F}\_518332D1408AA947F95214.exe
2009-07-27 22:04 . 2009-07-27 22:04	--------	d-----w-	c:\programme\MDLView
2009-07-27 18:34 . 2008-05-25 16:19	--------	d-----w-	c:\programme\AFX
2009-07-27 10:31 . 2009-07-21 08:40	--------	d-----w-	c:\programme\Hotspot Shield
2009-07-21 07:42 . 2007-10-24 12:19	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\gtk-2.0
2009-07-15 00:01 . 2009-07-15 00:01	25472	----a-w-	c:\windows\system32\drivers\tap0901.sys
2009-07-14 19:47 . 2008-10-18 12:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-07-12 20:46 . 2007-11-30 21:09	--------	d-----w-	c:\programme\Bonjour
2009-07-12 20:45 . 2008-06-12 17:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-07-09 15:50 . 2008-05-18 09:30	--------	d-----w-	c:\programme\gs
2009-07-09 15:48 . 2009-07-09 15:48	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Bullzip
2009-07-09 15:47 . 2009-07-09 15:47	--------	d-----w-	c:\programme\Bullzip
2009-07-02 02:34 . 2009-07-02 02:34	33840	----a-w-	c:\windows\system32\drivers\HssDrv.sys
2009-07-01 10:43 . 2007-11-02 10:32	47360	----a-w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\pcouffin.sys
2009-07-01 10:43 . 2007-11-02 10:32	47360	----a-w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\pcouffin.sys
2009-07-01 10:14 . 2007-11-02 10:32	47360	----a-w-	c:\windows\system32\drivers\pcouffin.sys
2009-06-24 19:23 . 2009-06-24 19:23	1915520	----a-w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-06-09 14:11 . 2009-06-09 14:11	410984	----a-w-	c:\windows\system32\deploytk.dll
2008-06-28 06:28 . 2008-06-28 06:28	61	--sh--w-	c:\windows\cnerolf.bin
2008-05-03 12:21 . 2008-05-03 12:21	61	--sh--w-	c:\windows\cnerolf.dat
2007-10-24 20:27 . 2007-10-24 20:17	48	--sh--w-	c:\windows\S5A0F0848.tmp
.

------- Sigcheck -------

[-] 2009-09-02 09:28	29184	A6812A9BC1141B81F3CF2AD1093FFD36	c:\windows\system32\dllcache\beep.sys
[-] 2009-09-02 09:28	29184	A6812A9BC1141B81F3CF2AD1093FFD36	c:\windows\system32\drivers\beep.sys
.
(((((((((((((((((((((((((((((   SnapShot@2009-09-02_08.20.42   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-02 09:26 . 2009-09-02 09:26	16384              c:\windows\Temp\Perflib_Perfdata_7a0.dat
+ 2009-09-02 09:26 . 2009-09-02 09:26	16384              c:\windows\Temp\Perflib_Perfdata_690.dat
+ 2009-09-02 09:18 . 2009-09-02 09:18	16384              c:\windows\Temp\Perflib_Perfdata_124.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sys32_nov"="c:\dokumente und einstellungen\Besitzer\sys32_nov.exe" [2009-09-01 29216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"sys32_nov"="c:\windows\system32\sys32_nov.exe" [2009-09-01 29216]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"Regedit32"="c:\windows\system32\regedit.exe" [BU]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-04-10 16861184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-1-9 113664]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-302 v3 Utility.lnk - c:\programme\ZyXEL\G-302v3\G-302v3.exe [2009-8-18 1610240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Picasa Media Detector"=c:\programme\Picasa2\PicasaMediaDetector.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"QuickHelp2_McciTrayApp"=c:\programme\QuickHelp2\QuickHelp.exe
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"H2O"=c:\programme\SyncroSoft\Pos\H2O\cledx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\FS2004\\fs9.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\MATLAB71\\bin\\win32\\MATLAB.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\xampplite\\apache\\bin\\httpd.exe"=
"c:\\xampplite\\mysql\\bin\\mysqld.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [01.09.2009 21:42 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [01.09.2009 21:42 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [18.08.2009 18:45 38144]
R2 HssSrv;Hotspot Shield Routing Service;c:\programme\Hotspot Shield\HssWPR\hsssrv.exe [15.06.2009 23:49 331312]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [01.12.2008 15:16 603904]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [18.10.2007 09:41 38656]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [04.08.2009 22:41 33792]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [15.07.2009 02:01 25472]
S2 gupdate1c9b947b3377a06;Google Update Service (gupdate1c9b947b3377a06);c:\programme\Google\Update\GoogleUpdate.exe [09.04.2009 21:16 133104]
S3 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [18.08.2009 12:46 12672]
S3 HssTrayService;Hotspot Shield Tray Service;c:\programme\Hotspot Shield\bin\HssTrayService.exe [22.07.2009 01:23 57640]
S3 SaiH0BAC;SaiH0BAC;c:\windows\system32\drivers\SaiH0BAC.sys [27.06.2008 20:10 135168]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-09-02 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-24 11:32]

2009-08-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-09-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-09 19:16]

2009-09-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-09 19:16]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-braviax - (no file)
HKLM-Run-braviax - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
mSearch Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
mSearchAssistant = hxxp://www.google.com
IE: E&xport to Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\j461be1x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-02 11:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(948)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1380)
c:\windows\system32\browselc.dll
c:\windows\system32\ODBC32.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\program files\ETHZ\VPN Client\cvpnd.exe
c:\programme\Hotspot Shield\bin\openvpnas.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\MATLAB71\webserver\bin\win32\matlabserver.exe
c:\programme\Gemeinsame Dateien\Motive\McciCMService.exe
c:\programme\MATLAB71\bin\win32\MATLAB.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Hotspot Shield\bin\openvpntray.exe
c:\windows\system32\braviax.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-02 11:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-09-02 09:31
ComboFix2.txt  2009-09-02 08:42
ComboFix3.txt  2009-09-02 08:27
ComboFix4.txt  2009-09-02 08:22

Vor Suchlauf: 4'586'782'720 Bytes frei
Nach Suchlauf: 4'532'097'024 Bytes frei

297

Vielen Dank für die Hilfe

kira · 02.09.2009, 12:42

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!

- also lade Dir Gmer herunter
- entpacke es auf deinen Desktop
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- Starte gmer.exe<-hier "umbenannt.com".
- Achte darauf, dass "Show all" soll nicht angehakt sein! - dann klicke auf "Scan", um das Tool zu starten
- bitte nichts am Pc machen während der Scan läuft!
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

12bPilot · 02.09.2009, 14:51

1. Hijack-log

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:42, on 02.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\sys32_nov.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Dokumente und Einstellungen\Besitzer\sys32_nov.exe
C:\Dokumente und Einstellungen\Besitzer\sys32_nov.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ZyXEL\G-302v3\G-302v3.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Program Files\ETHZ\VPN Client\cvpnd.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hotspot Shield\bin\openvpntray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\braviax.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [sys32_nov] C:\WINDOWS\system32\sys32_nov.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [sys32_nov] C:\Dokumente und Einstellungen\Besitzer\sys32_nov.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZyXEL G-302 v3 Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\ETHZ\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9b947b3377a06) (gupdate1c9b947b3377a06) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB71\webserver\bin\win32\matlabserver.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6334 bytes

2. So gemacht...

3. filelist.bat

Code:

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\

02.09.2009  15:08                43 filelist.txt
02.09.2009  15:04     2'145'386'496 pagefile.sys
02.09.2009  13:00            19'482 ComboFix.txt
02.09.2009  10:16               281 boot.ini
02.08.2009  13:28           488'810 AnalysisLog.sr0
09.07.2009  17:38             1'600 hpfr3425.log
09.07.2009  17:38                 0 hpfr3420.xml
03.05.2009  15:49        13'023'770 APT_Sion_LSGS.zip
10.04.2009  17:51               211 Boot.bak

              25 Datei(en)  2'161'516'708 Bytes
               0 Verzeichnis(se),  4'418'670'592 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\WINDOWS

02.09.2009  15:04           336'535 WindowsUpdate.log
02.09.2009  15:04                 0 0.log
02.09.2009  15:04             9'533 RTacDbg.txt
02.09.2009  15:04             2'048 bootstat.dat
02.09.2009  15:03            32'528 SchedLgU.Txt
02.09.2009  14:54               476 setupapi.log
02.09.2009  14:53                 0 Sti_Trace.log
02.09.2009  12:58               227 system.ini
29.08.2009  14:33               284 matlab.ini
26.08.2009  21:44               950 FSX_KML.INI
23.08.2009  03:09           229'376 PEV.exe
04.08.2009  22:43           316'640 WMSysPr9.prx
04.08.2009  19:13           737'280 iun6002.exe
14.07.2009  21:47                37 vbaddin.ini
14.07.2009  21:47               136 ODBC.INI
23.06.2009  11:39                43 gswin32.ini
20.04.2009  12:56            31'232 NIRCMD.exe
17.04.2009  16:07               754 WORDPAD.INI
10.04.2009  17:51               498 win.ini
30.01.2009  21:19                 0 AirUpdate.INI
10.01.2009  00:36                 7 INI2=No
10.01.2009  00:36                 7 INI1=No

             106 Datei(en)     44'009'512 Bytes
               0 Verzeichnis(se),  4'418'666'496 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\WINDOWS\system

28.02.2006  14:00            70'368 AVICAP.DLL
28.02.2006  14:00           109'504 AVIFILE.DLL
28.02.2006  14:00            33'744 COMMDLG.DLL
28.02.2006  14:00           146'944 WINSPOOL.DRV
28.02.2006  14:00             2'000 KEYBOARD.DRV
28.02.2006  14:00             9'936 LZEXPAND.DLL
28.02.2006  14:00            73'760 MCIAVI.DRV
28.02.2006  14:00            25'296 MCISEQ.DRV
28.02.2006  14:00            28'160 MCIWAVE.DRV
28.02.2006  14:00            69'632 MMSYSTEM.DLL
28.02.2006  14:00             1'152 MMTASK.TSK
28.02.2006  14:00             2'032 MOUSE.DRV
28.02.2006  14:00           127'104 MSVIDEO.DLL
28.02.2006  14:00            82'944 OLECLI.DLL
28.02.2006  14:00            24'064 OLESVR.DLL
28.02.2006  14:00            59'167 setup.inf
28.02.2006  14:00             5'120 SHELL.DLL
28.02.2006  14:00             1'744 SOUND.DRV
28.02.2006  14:00             5'532 stdole.tlb
28.02.2006  14:00             3'360 SYSTEM.DRV
28.02.2006  14:00            19'200 TAPI.DLL
28.02.2006  14:00             4'048 TIMER.DRV
28.02.2006  14:00             9'200 VER.DLL
28.02.2006  14:00             2'176 VGA.DRV
28.02.2006  14:00            13'600 WFWNET.DRV
08.02.2006  01:36           126'976 GuiLib.dll
23.12.1997  02:23             5'600 winaspi.dll
23.12.1997  02:23             4'672 wowpost.exe
              28 Datei(en)      1'067'035 Bytes
               0 Verzeichnis(se),  4'418'662'400 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\WINDOWS\system32

02.09.2009  15:05            11'264 braviax.exe
02.09.2009  15:04            60'452 ativvaxx.cap
02.09.2009  15:02           191'159 wisdstr.exe
01.09.2009  21:42             3'002 CONFIG.NT
01.09.2009  20:40            29'216 sys32_nov.exe
31.08.2009  12:38            12'598 wpa.dbl
18.08.2009  10:08           229'376 wifiman.dll
17.08.2009  21:30         1'613'880 FNTCACHE.DAT
17.08.2009  18:10         1'279'456 aswBoot.exe
17.08.2009  18:02            97'480 AvastSS.scr
04.08.2009  23:16                 8 mswin32.ocx
04.08.2009  15:23                 0 cd.dat
04.08.2009  15:21                 8 mssrv32.vxd
09.06.2009  16:11           144'792 javaw.exe
09.06.2009  16:11           148'888 javaws.exe
09.06.2009  16:11           144'792 java.exe
09.06.2009  16:11            73'728 javacpl.cpl
09.06.2009  16:11           410'984 deploytk.dll
09.06.2009  10:25                82 LMGRD.LOG
24.05.2009  16:48             4'096 crash
22.04.2009  19:53           194'560 bzpdf.dll
10.04.2009  18:08            82'966 perfc007.dat
10.04.2009  18:08           453'106 perfh007.dat
10.04.2009  18:08            70'202 perfc009.dat
10.04.2009  18:08           436'056 perfh009.dat
10.04.2009  18:08         1'030'922 PerfStringBackup.INI
10.04.2009  17:58            12'540 wpa.bak
03.04.2009  12:20               664 d3d9caps.dat
19.03.2009  17:08           499'712 msvcp71.dll
16.03.2009  14:18           235'352 xactengine3_4.dll
16.03.2009  14:18            69'448 XAPOFX1_3.dll
16.03.2009  14:18            22'360 X3DAudio1_6.dll
16.03.2009  14:18           517'448 XAudio2_4.dll
15.03.2009  21:41           413'696 wrap_oal.dll
15.03.2009  21:41           110'592 OpenAL32.dll
09.03.2009  15:27         4'178'264 D3DX9_41.dll
09.03.2009  15:27           453'456 d3dx10_41.dll
09.03.2009  15:27         1'846'632 D3DCompiler_41.dll
25.02.2009  12:55        24'768'960 MRT.exe
17.02.2009  15:33            89'256 ElbyCDIO.dll
05.01.2009  16:18            57'344 QuickTime.qts
05.01.2009  16:18            90'112 QuickTimeVR.qtx

            2187 Datei(en)    520'503'873 Bytes
               0 Verzeichnis(se),  4'418'478'080 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\WINDOWS\Prefetch

02.09.2009  15:08            16'984 CMD.EXE-087B4001.pf
02.09.2009  15:06            12'460 NOTEPAD.EXE-336351A9.pf
02.09.2009  15:06             6'824 JQSNOTIFY.EXE-1E60A522.pf
02.09.2009  15:06            85'838 FIREFOX.EXE-1D57670A.pf
02.09.2009  15:06            23'302 BRAVIAX.EXE-0B81BFC9.pf
02.09.2009  15:05            23'912 OPENVPNTRAY.EXE-309B8863.pf
02.09.2009  15:05            41'798 WUAUCLT.EXE-399A8E72.pf
02.09.2009  15:05            15'234 BNA.TMP-31A07046.pf
02.09.2009  15:05            17'042 BN8.TMP-110755C7.pf
02.09.2009  15:05             8'246 HSSTRAYSERVICE.EXE-186026E8.pf
02.09.2009  15:05            91'004 AVAST.SETUP-2B043760.pf
02.09.2009  15:05            13'814 REGSVR32.EXE-25EEFE2F.pf
02.09.2009  15:05            31'092 SVCHOST.EXE-3530F672.pf
02.09.2009  15:05            14'386 ALG.EXE-0F138680.pf
02.09.2009  15:05            18'824 WMIAPSRV.EXE-1E2270A5.pf
02.09.2009  15:05            42'590 ASHWEBSV.EXE-091EF0CF.pf
02.09.2009  15:05            23'712 WMIPRVSE.EXE-28F301A9.pf
02.09.2009  15:05            16'006 IMAPI.EXE-0BF740A4.pf
02.09.2009  15:05         1'387'204 NTOSBOOT-B00DFAAD.pf
02.09.2009  15:03            19'340 LOGONUI.EXE-0AF22957.pf
02.09.2009  15:03             7'238 WSCNTFY.EXE-1B24F5EB.pf
02.09.2009  15:02            71'888 TASKMGR.EXE-20256C55.pf
02.09.2009  15:01             9'408 BN6.TMP-263AA539.pf
02.09.2009  15:01            16'188 BN7.TMP-28C43879.pf
02.09.2009  14:54            45'612 RTHDCPL.EXE-06918CFA.pf
02.09.2009  14:54            32'828 ASHDISP.EXE-0B874892.pf
02.09.2009  14:54             4'748 SYS32_NOV.EXE-22742382.pf
02.09.2009  14:54             4'876 SYS32_NOV.EXE-097F00E1.pf
02.09.2009  14:54            10'504 XINSIDE.EXE-3A50FD64.pf
02.09.2009  14:54             8'514 XRAIDSETUP.EXE-3871988B.pf
02.09.2009  14:46            30'968 GOOGLEUPDATE.EXE-187AE91D.pf
02.09.2009  14:24            37'248 G-302V3.EXE-0CC6ACAC.pf
02.09.2009  14:24            98'912 EXPLORER.EXE-082F38A9.pf
02.09.2009  14:24             9'950 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
02.09.2009  14:24            36'596 ONECLICKSTARTER.EXE-25A6E9E3.pf
02.09.2009  14:00            22'472 CONTROL.EXE-013DBFB5.pf
02.09.2009  13:54            42'524 WINZIP32.EXE-335422C1.pf
02.09.2009  13:20            55'862 GMAX.EXE-0504A3ED.pf
02.09.2009  13:02            13'866 HELPER.EXE-244ABC1F.pf
02.09.2009  13:00             8'516 NIRCMD.EXE-2C39EF53.pf
02.09.2009  13:00             3'984 HANDLE.CFXXE-3A21626E.pf
02.09.2009  13:00            23'704 PV.CFXXE-232B0D6C.pf
02.09.2009  13:00            13'958 REGEDIT.EXE-1B606482.pf
02.09.2009  13:00             8'232 SWREG.CFXXE-17391962.pf
02.09.2009  13:00             5'608 CHCP.COM-18156052.pf
02.09.2009  13:00            12'700 NIRCMD.CFXXE-05436116.pf
02.09.2009  13:00            29'056 PEV.CFXXE-02C8A4D3.pf
02.09.2009  13:00             4'180 MTEE.CFXXE-32C26232.pf
02.09.2009  13:00             4'364 SED.CFXXE-3B4964C3.pf
02.09.2009  13:00             4'386 GREP.CFXXE-350016A4.pf
02.09.2009  13:00             8'340 NIRCMDC.CFXXE-101D6E86.pf
02.09.2009  12:54             4'918 GREP.EXE-3309531C.pf
02.09.2009  12:54             3'646 SED.EXE-0F4B402F.pf
02.09.2009  12:54            31'894 CSCRIPT.EXE-1C26180C.pf
02.09.2009  12:54            11'164 REGT.CFXXE-2A974419.pf
02.09.2009  12:54            12'768 PEV.EXE-0806C34B.pf
02.09.2009  12:54             3'970 GSAR.CFXXE-00AB7A6E.pf
02.09.2009  12:54             8'544 SWXCACLS.CFXXE-0F8095D7.pf
02.09.2009  12:54             6'244 SWSC.CFXXE-2693FE93.pf
02.09.2009  12:54             6'962 COMBOFIX-DOWNLOAD.CFXXE-31D203D3.pf
02.09.2009  12:54            10'544 SORT.EXE-194AE83C.pf
02.09.2009  12:54            13'444 PING.EXE-31216D26.pf
02.09.2009  12:54             8'316 HIDEC.EXE-3818BC01.pf
02.09.2009  12:54            10'146 ATTRIB.EXE-39EAFB02.pf
02.09.2009  12:54             6'194 SWREG.EXE-3560BE42.pf
02.09.2009  12:54             4'996 ATTRIB.CFXXE-0D17129C.pf
02.09.2009  12:54             5'744 ATTRIB.CFXXE-18D70E5B.pf
02.09.2009  12:54            45'876 PEV.CFXXE-3B65BD28.pf
02.09.2009  12:54            21'612 PV.CFXXE-38A0900B.pf
02.09.2009  12:54            10'034 NIRCMD.CFXXE-351E2F5E.pf
02.09.2009  12:54            18'108 CMD.EXECF-27E83661.pf
02.09.2009  12:54             7'772 SWXCACLS.CFXXE-1ECB3953.pf
02.09.2009  12:54             4'286 SED.CFXXE-384BB311.pf
02.09.2009  12:53             7'432 NIRCMDB.EXE-143CC1C1.pf
02.09.2009  12:53             8'228 PEV.EXE-2937A365.pf
02.09.2009  12:53             3'668 GREP.CFXXE-005CE245.pf
02.09.2009  12:53            64'836 COMBOFIX.EXE-25C6B96F.pf
02.09.2009  12:53            15'842 N.PIF-1B75D06C.pf
02.09.2009  12:53             4'864 GSAR.CFXXE-064C1B3A.pf
02.09.2009  12:53             8'612 SWREG.EXE-0937BD77.pf
02.09.2009  12:53            12'332 GRPCONV.EXE-111CD845.pf
02.09.2009  12:53            13'800 RUNONCE.EXE-2803F297.pf
02.09.2009  12:53            15'574 RUNDLL32.EXE-1EE676D0.pf
02.09.2009  12:53             4'358 HIDEC.EXE-3B166DB3.pf
02.09.2009  12:53             7'410 IEXPLORE.EXE-12915967.pf
02.09.2009  12:44             4'252 CLIPTEXT.EXE-1606842F.pf
02.09.2009  12:44             8'290 CSWEG.EXE-02598DDA.pf
02.09.2009  12:44             4'806 DNIF.EXE-26A0214B.pf
02.09.2009  12:42             9'420 CGHTME.EXE-33B3FE87.pf
02.09.2009  12:42             3'866 LS.EXE-08231091.pf
02.09.2009  12:42            10'668 ZIP.EXE-03A98C6D.pf
02.09.2009  12:42            11'532 EDITREG.EXE-200FDBD5.pf
02.09.2009  12:42             5'854 SWSC.EXE-1B7F0DFA.pf
02.09.2009  12:42             3'766 RTSDNIF.EXE-2DEC3B2B.pf
02.09.2009  12:41             2'876 MD5FILE.EXE-07C80121.pf
02.09.2009  12:41            14'038 UNRAR.EXE-05CA1F39.pf
02.09.2009  12:40            61'940 NTVDM.EXE-1A10A423.pf
02.09.2009  12:40            17'184 RUNDLL32.EXE-3C808998.pf
02.09.2009  12:40            14'276 USERINIT.EXE-30B18140.pf
02.09.2009  12:40             3'648 ISADMIN.EXE-34B59F8A.pf
02.09.2009  12:40            12'264 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
02.09.2009  12:08            16'014 BRAVIAXREMOVER.EXE-207345FD.pf
02.09.2009  11:33            38'206 WISDSTR.EXE-0895E836.pf
02.09.2009  11:31             9'534 CATCHME.CFXXE-23E5EDF4.pf
02.09.2009  11:31            22'546 IPCONFIG.EXE-2395F30B.pf
02.09.2009  11:31             6'454 FINDSTR.CFXXE-2395B528.pf
02.09.2009  11:31           143'416 DUMPHIVE.CFXXE-1A17CAC9.pf
02.09.2009  11:30            53'612 ERUNT.CFXXE-34DA43A5.pf
02.09.2009  11:30            10'876 FINDSTR.EXE-0CA6274B.pf
02.09.2009  11:30            10'110 CF25144.EXE-090E49C4.pf
02.09.2009  11:30             7'568 NIRCMDB.EXE-137B12EA.pf
02.09.2009  11:28            25'200 CATCHME.TMP-265A4B2E.pf
02.09.2009  11:16            15'860 _IU14D2N.TMP-196E6088.pf
02.09.2009  11:16            19'970 UNINS000.EXE-1007FF56.pf
02.09.2009  11:16            32'480 SPYWARETERMINATOR.EXE-018F43AF.pf
02.09.2009  11:14            82'604 CLEANMGR.EXE-1F86EA8E.pf
02.09.2009  11:07            54'438 CUNINST.EXE-00B0EE5B.pf
02.09.2009  11:06            59'384 CTOOLBAR.EXE-0BF84028.pf
02.09.2009  10:57           693'344 Layout.ini
01.09.2009  23:37            90'024 VLC.EXE-29851A71.pf
01.09.2009  22:53            62'424 ACRORD32.EXE-153330F0.pf
01.09.2009  22:47            89'198 AVWSC.EXE-24612965.pf
01.09.2009  22:36            81'040 GUARDGUI.EXE-147E0160.pf
01.09.2009  21:14            13'386 CTFMON.EXE-0E17969B.pf
01.09.2009  21:14            69'300 AVGNT.EXE-39CD89BF.pf
01.09.2009  21:14             9'578 ALCMTR.EXE-235F9538.pf
01.09.2009  18:54             8'976 LOGON.SCR-151EFAEA.pf
29.08.2009  15:08            96'264 PHOTOSHOP.EXE-15B6C74D.pf
29.08.2009  15:08            15'326 RUNDLL32.EXE-3C207778.pf
15.05.2009  10:33            29'570 AVWSC.EXE-3AC95876.pf
             130 Datei(en)      5'076'362 Bytes
               0 Verzeichnis(se),  4'418'543'616 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\WINDOWS\tasks

02.09.2009  15:04               490 1-Klick-Wartung.job
02.09.2009  15:04             1'084 GoogleUpdateTaskMachineCore.job
02.09.2009  15:04                 6 SA.DAT
02.09.2009  14:46             1'088 GoogleUpdateTaskMachineUA.job
26.08.2009  18:20               276 AppleSoftwareUpdate.job
28.02.2006  14:00                65 desktop.ini
               6 Datei(en)          3'009 Bytes
               0 Verzeichnis(se),  4'418'547'712 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\WINDOWS\Temp

02.09.2009  15:04            16'384 Perflib_Perfdata_870.dat
02.09.2009  15:04            16'384 Perflib_Perfdata_644.dat
02.09.2009  15:00            16'384 Perflib_Perfdata_730.dat
02.09.2009  14:53            16'384 Perflib_Perfdata_468.dat
02.09.2009  14:24            16'384 Perflib_Perfdata_128.dat
02.09.2009  13:58            16'384 Perflib_Perfdata_7b0.dat
               6 Datei(en)         98'304 Bytes
               0 Verzeichnis(se),  4'418'547'712 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D0FE-538E

 Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

02.09.2009  15:06            16'384 ~DF4D04.tmp
02.09.2009  15:06           114'688 ~DFE985.tmp
02.09.2009  15:05            49'152 ~DF2E16.tmp
02.09.2009  15:05            50'176 BNA.tmp
02.09.2009  15:05            50'176 BN9.tmp
02.09.2009  15:05            50'176 BN8.tmp
02.09.2009  15:01            49'152 ~DFC5B9.tmp
02.09.2009  15:01            50'176 BN7.tmp
02.09.2009  15:01            50'176 BN6.tmp
02.09.2009  13:58            26'094 Hungarian.bin
02.09.2009  13:58            21'975 Norwegian.bin
02.09.2009  13:58            22'263 Turkish.bin
02.09.2009  13:58            24'321 Czech.bin
02.09.2009  13:58            19'564 Hebrew.bin
02.09.2009  13:58            22'868 Finnish.bin
02.09.2009  13:58            25'082 Portuguese(Brazil).bin
02.09.2009  13:58            24'232 Polish.bin
02.09.2009  13:58            25'093 Greek.bin
02.09.2009  13:58            20'991 Arabic.bin
02.09.2009  13:58            21'987 Thai.bin
02.09.2009  13:58            16'420 SimChin.bin
02.09.2009  13:58            26'271 Portuguese.bin
02.09.2009  13:58            21'944 English.bin
02.09.2009  13:58            27'764 Spanish.bin
02.09.2009  13:58            24'093 SWEDISH.bin
02.09.2009  13:58            26'136 Russian.bin
02.09.2009  13:58            27'421 Italian.bin
02.09.2009  13:58            25'764 German.bin
02.09.2009  13:58            27'246 French.bin
02.09.2009  13:58            16'962 TradChin.bin
02.09.2009  13:58            25'758 Dutch.bin
02.09.2009  13:58            22'794 Danish.bin
02.09.2009  13:58            20'145 Korean.bin
02.09.2009  13:58            24'340 Japanese.bin
              34 Datei(en)      1'067'784 Bytes
               0 Verzeichnis(se),  4'418'543'616 Bytes frei

12bPilot · 02.09.2009, 14:52

4. CCleaner Program list

Code:

ATTFilter

7-Zip 4.42
Abacus EZ-Scenery V1.03
Active Sky X
Addictive Drums
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Photoshop CS3
Adobe Reader 8.1.0 - Deutsch
Adobe Shockwave Player 11.5
AFX
AFX Professional License
Apple Software Update
ASIO4ALL
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
ATI Problem Report Wizard
Attansic Ethernet Utility
Attansic L1 Gigabit Ethernet Driver
avast! Antivirus
AviSynth 2.5
AVIVO Codecs
Bullzip PDF Printer 6.0.0.865
Carenado C 152 II
Carenado Mooney M20J FSX
CAT 1.2.0
CCleaner (remove only)
CDBurnerXP
CloneDVD2
CPUID CPU-Z 1.52.1
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Drumagog 4
Drumagog 4 Demo
Drumagog Purrrfect Brushes Cymbals
Drumagog Rock Bass Drums
Drumagog Rock Cymbals
Drumagog Rock Snares
Drumagog Rock Toms
DVDFab 6.0.2.2 by TEAM AHCU(June 26, 2009)
FileZilla Client 3.1.6
Flight Simulator 2004 BGLComp SDK
Flight Simulator 2004 MakeMDL SDK
Flight Simulator 2004 Special Effects SDK
FlightZone 02: Portland
FreeZ
FS Global 2008 for FSX
GeoTIFF Tools
Global Mapper 10
Global Mapper 8
gmax
Google Earth
GPL Ghostscript 8.64
GPL Ghostscript Fonts
GSview 4.9
GTK+ 2.10.13 runtime environment
Gtk+ Development Environment for Windows 2.12.9-1
gtkmm Runtime Environment 2.10
Guitar Pro 5.2
Hex-Editor MX
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotspot Shield 1.21
iTunes
Java(TM) 6 Update 13
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Java(TM) 6 Update 7
JMB36X Raid Configurer
Linotype FontExplorer X Public Beta
Magic ISO Maker v5.4 (build 0251)
Malwarebytes' Anti-Malware
Maps2Bgl 1.8b Beta FS9/FSX-Version
MATLAB 7.1
MDLView
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt
Microsoft Flight Simulator 2004 gmax SDK
Microsoft Flight Simulator SimConnect Client v10.0.60905.0
Microsoft Flight Simulator SimConnect Client v10.0.61259.0
Microsoft Flight Simulator X Service Pack 2
Microsoft Flight Simulator X SP2 SDK
Microsoft Office Enterprise 2007
Microsoft Silverlight
Microsoft SQL Server 2008 Management Objects
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Express Edition with SP1 - ENU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - enu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
MiKTeX 2.7
Mooney 20J High Definition Virtual Cockpit
Mozilla Firefox (3.5.2)
Mozilla Thunderbird (2.0.0.22)
MSXML 4.0 SP2 Parser and SDK
MSXML 6.0 Parser (KB933579)
Notepad++
ObPlacer XML 0.83
OpenAL
OpenOffice.org 3.1
OpenSceneGraph 2.4.0 vs8.0sp1 2008-04-28
PC Probe II
Picasa 2
Project64 1.6
Python 2.4.1
Python 2.6.1
Quick Help 2.0
QuickTime
RapidShare Manager
Realtek High Definition Audio Driver
SBuilderX
SceneryTech Asia Landclass v1.0
Sentinel System Driver 5.42.1 (32-bit)
sfArk
SharpDevelop 2.2
Skype™ 3.8
SQL Server System CLR Types
Steinberg Cubase SX v3.1.1.944
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
TeXnicCenter Version 1.0 Stable RC1
The GIMP 2.2.17
Total Commander (Remove or Repair)
Trilogy
TuneUp Utilities 2009
TuxGuitar
Version 1.0
Vietcong
Virtua Tennis(TM) 2009
Visual Studio Tools for the Office system 3.0 Runtime
VLC media player 1.0.0
VPN Client
Windows Installer 3.1 (KB893803)
Windows Installer Clean Up
Windows Media Player Firefox Plugin
WinZip
WTS Demo Online
Zattoo 3.3.4 Beta
ZyXEL G-302 v3  Utility
µTorrent

kira · 02.09.2009, 17:21

hi

warte noch auf Gmer - Punkt 5.

12bPilot · 02.09.2009, 17:45

Hi

Mit dem SUPERAntiSpyware Tool hat es geklappt, diese Files zu entfernen. D.h. nach dem Restart keine Probleme mehr, Avast und ComboFix haben nix mehr zu motzen.

Anyway...

5. Gmer

Code:

ATTFilter

GMER 1.0.15.15077 [haepdi.com] - http://www.gmer.net
Rootkit scan 2009-09-02 18:43:22
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwClose [0xACC856B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwCreateKey [0xACC85574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwDeleteValueKey [0xACC85A52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwDuplicateObject [0xACC8514C]
SSDT            sptd.sys                                                                                                       ZwEnumerateKey [0xB9EC3FB2]
SSDT            sptd.sys                                                                                                       ZwEnumerateValueKey [0xB9EC4340]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwOpenKey [0xACC8564E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwOpenProcess [0xACC8508C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwOpenThread [0xACC850F0]
SSDT            sptd.sys                                                                                                       ZwQueryKey [0xB9EC4418]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwQueryValueKey [0xACC8576E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwRestoreKey [0xACC8572E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwSetValueKey [0xACC858AE]
SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)      ZwTerminateProcess [0xACD6A0B0]

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\sptd.sys                                                                           Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           USBPORT.SYS!DllUnload                                                                                          B971A8AC 5 Bytes  JMP 89D35770 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                             [B9EBEAD4] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                     [B9EBEC1A] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                            [B9EBEB9C] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                    [B9EBF748] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                            [B9EBF61E] sptd.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                             [B9ED429A] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[1988] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  00380002
IAT             C:\WINDOWS\system32\services.exe[1988] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        00380000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                         89E4B1E8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                         aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \Driver\NetBT \Device\NetBT_Tcpip_{0ED51FA3-B5E6-45F6-9743-C192CE471E26}                                       891C81E8

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                       aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                               89C8F790
Device          \Driver\usbuhci \Device\USBPDO-1                                                                               89C8F790
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                      89E4D1E8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                        89E4D1E8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                           89E4D1E8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                          89E4D1E8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                               89C8F790
Device          \Driver\usbehci \Device\USBPDO-3                                                                               89C6B570
Device          \Driver\usbuhci \Device\USBPDO-4                                                                               89C8F790
Device          \Driver\NetBT \Device\NetBT_Tcpip_{6B080113-C3BA-4BED-BF8F-49925FE7C67C}                                       891C81E8
Device          \Driver\usbuhci \Device\USBPDO-5                                                                               89C8F790

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBPDO-6                                                                               89C8F790
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                         89DDB1E8
Device          \Driver\usbehci \Device\USBPDO-7                                                                               89C6B570
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                         89DDB1E8
Device          \Driver\Cdrom \Device\CdRom0                                                                                   89D38790
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                         89DDB1E8
Device          \Driver\Cdrom \Device\CdRom1                                                                                   89D38790
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                         89DDB1E8
Device          \Driver\Cdrom \Device\CdRom2                                                                                   89D38790
Device          \Driver\Ftdisk \Device\HarddiskVolume5                                                                         89DDB1E8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                        891C81E8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                               891C81E8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                               89C8F790
Device          \Driver\usbuhci \Device\USBFDO-1                                                                               89C8F790
Device          \Driver\usbuhci \Device\USBFDO-2                                                                               89C8F790
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                              88EDB1E8
Device          \Driver\usbehci \Device\USBFDO-3                                                                               89C6B570
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                    88EDB1E8
Device          \Driver\Ftdisk \Device\FtControl                                                                               89DDB1E8
Device          \Driver\usbuhci \Device\USBFDO-4                                                                               89C8F790
Device          \Driver\usbuhci \Device\USBFDO-5                                                                               89C8F790
Device          \Driver\usbuhci \Device\USBFDO-6                                                                               89C8F790
Device          \Driver\usbehci \Device\USBFDO-7                                                                               89C6B570
Device          \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0                                                         89E4C1E8
Device          \Driver\JRAID \Device\Scsi\JRAID1                                                                              89E4C1E8
Device          \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target1Lun0                                                         89E4C1E8
Device          \FileSystem\Cdfs \Cdfs                                                                                         88EA71E8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                             771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                             285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                             2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                            1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                         0x8E 0xA9 0x8A 0xC6 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                            0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                         0xD3 0xB7 0xB0 0xE4 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                1
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                             0x8E 0xA9 0x8A 0xC6 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                             0xD3 0xB7 0xB0 0xE4 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                1
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                             0x8E 0xA9 0x8A 0xC6 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                             0xD3 0xB7 0xB0 0xE4 ...
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@                                   
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@                                    
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@                                    

---- EOF - GMER 1.0.15 ----

02.09.2009, 17:21	#5
kira /// Helfer-Team	figaro.sys, beep.sys, braviax.exe, wisdstr.exe Befall hi warte noch auf Gmer - Punkt 5.

figaro.sys, beep.sys, braviax.exe, wisdstr.exe Befall

Plagegeister aller Art und deren Bekämpfung: figaro.sys, beep.sys, braviax.exe, wisdstr.exe Befall