Rootkit.TDSS werde ich nicht los!

moni81 · 05.09.2009, 22:42

Am liebsten würd ich jetzt zum scripten kommen, werd langsam müde *g*

Zitat:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\spfv.sys
Service Name: ---
Module Base: 8228D000
Module End: 8238D000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpata.sys
Service Name: ---
Module Base: 8B93B000
Module End: 8B946000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: 8B946000
Module End: 8B94E000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpfve.sys
Service Name: ---
Module Base: 8B94E000
Module End: 8B95F000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\_restore{6CBEEABF-26C4-4F37-8601-F1E7FA3C7B66}
Status: Access denied

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd15-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd28-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd2e-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd34-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd3a-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd61-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd67-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd6d-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd78-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{6d4fcd7f-9a40-11de-a3c8-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{90a25a16-99f7-11de-aa2a-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{90a25a45-99f7-11de-aa2a-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{90a25a4b-99f7-11de-aa2a-001a6b786e43}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\namespace
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\pq
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\sm
Status: Access denied

Object: C:\Windows\CSC\v2.0.6\temp
Status: Access denied

Object: C:\Windows\CSC\v2.0.6
Status: Access denied

Object: C:\Windows\ERDNT\cache\appmgmts.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\asyncmac.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\beep.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\browser.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\comctl32.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\comres.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\cryptsvc.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\ctfmon.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\es.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\explorer.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\ias.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\imm32.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\kbdclass.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\kernel32.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\linkinfo.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\lpk.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\lsass.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\mfc40u.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\mshtml.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\mswsock.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\ndis.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\netlogon.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\netman.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\ntfs.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\ntkrnlpa.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\ntoskrnl.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\null.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\powrprof.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\qmgr.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\rasauto.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\regsvc.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\rpcss.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\scecli.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\schedsvc.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\services.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\sfc.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\shsvcs.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\spoolsv.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\ssdpsrv.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\svchost.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\tapisrv.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\tcpip.sys
Status: Access denied

Object: C:\Windows\ERDNT\cache\termsrv.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\upnphost.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\user32.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\userinit.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\wininet.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\winlogon.exe
Status: Access denied

Object: C:\Windows\ERDNT\cache\ws2_32.dll
Status: Access denied

Object: C:\Windows\ERDNT\cache\wuauclt.exe
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Microsoft-Windows-Backup.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

john.doe · 05.09.2009, 22:45

Ja. Panda kannst du ja morgen nochmal laufen lassen. Ich bin sicher, dass der nichts mehr finden wird. Falls doch, dann postest du das Log. Ansonsten kannst du ihn deinstallieren. Lösche Sysprot.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
DBService
gymbwciodrsvxcrp
catchme
pavboot
SysProtDrv.sys

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"iTunesHelper"="-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1000]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1001]

Folder::
C:\rsit
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

moni81 · 05.09.2009, 23:13

Soooo da ist der Combolog:

Zitat:

ComboFix 09-09-04.02 - Moni 05.09.2009 23:54.3.2 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.49.1031.18.1021.285 [GMT 2:00]
ausgeführt von:: c:\users\Moni\Pictures\Desktop\confi.exe
Benutzte Befehlsschalter :: c:\users\Moni\Pictures\Desktop\cfscript.txt
SP: Windows-Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\programdata\Spybot - Search & Destroy
c:\programdata\Spybot - Search & Destroy\Logs\Checks.090820-2106.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.090820-2139.txt
c:\programdata\Spybot - Search & Destroy\Logs\Fixes.090820-2141.txt
c:\programdata\Spybot - Search & Destroy\Logs\Update downloads.log
c:\programdata\Spybot - Search & Destroy\ProcCache.sbc
c:\programdata\Spybot - Search & Destroy\Recovery\KillsoftV.zip
c:\programdata\Spybot - Search & Destroy\Recovery\KillsoftV1.zip
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME
-------\Legacy_PAVBOOT
-------\Legacy_SYSPROTDRV.SYS
-------\Service_catchme
-------\Service_gymbwciodrsvxcrp
-------\Service_pavboot

((((((((((((((((((((((( Dateien erstellt von 2009-08-05 bis 2009-09-05 ))))))))))))))))))))))))))))))
.

2009-09-05 22:00 . 2009-09-05 22:03 -------- d-----w- c:\users\Moni\AppData\Local\temp
2009-09-05 22:00 . 2009-09-05 22:00 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-09-05 22:00 . 2009-09-05 22:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-05 22:00 . 2009-09-05 22:00 -------- d-----w- c:\users\Abuse\AppData\Local\temp
2009-09-05 20:49 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-09-05 20:39 . 2009-09-05 20:40 -------- d-----w- c:\program files\Common Files\Adobe
2009-09-05 20:39 . 2009-09-05 20:39 -------- d-----w- c:\users\Moni\AppData\Roaming\vlc
2009-09-05 20:34 . 2009-09-05 20:34 -------- d-----w- c:\windows\system32\Adobe
2009-09-05 17:45 . 2009-09-05 17:45 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2009-09-05 16:34 . 2009-09-05 16:42 -------- d-s---w- C:\cofi
2009-09-05 16:23 . 2009-09-05 16:23 -------- d-----w- c:\program files\CCleaner
2009-09-05 10:04 . 2009-09-05 10:04 -------- d-----w- c:\users\Moni\AppData\Roaming\Malwarebytes
2009-09-05 10:04 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-05 10:04 . 2009-09-05 10:04 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-05 10:04 . 2009-09-05 10:04 -------- d-----w- c:\programdata\Malwarebytes
2009-09-05 10:04 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-05 09:33 . 2009-09-05 20:49 -------- d-----w- c:\program files\Panda Security
2009-09-05 09:14 . 2009-09-05 09:14 -------- d-----w- c:\program files\Trend Micro
2009-09-05 08:56 . 2009-09-05 08:56 -------- d-----w- c:\program files\ESET
2009-09-05 08:49 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll
2009-08-26 19:17 . 2009-08-26 19:17 1 ----a-w- c:\users\Abuse\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-08-25 17:29 . 2009-08-25 17:29 -------- d-----w- c:\windows\LocoRoco 2 - Wave Uninstaller
2009-08-25 17:29 . 2008-02-20 14:50 903680 ----a-w- c:\windows\LocoRoco 2 - Wave.scr
2009-08-25 17:29 . 2008-02-20 14:49 495104 ----a-w- c:\windows\LocoRoco 2 - Wave.exe
2009-08-20 19:26 . 2009-06-04 12:34 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-08-20 19:26 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-08-20 19:26 . 2009-06-10 12:12 160256 ----a-w- c:\windows\system32\wkssvc.dll
2009-08-20 19:26 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll
2009-08-20 19:26 . 2009-06-15 15:24 175104 ----a-w- c:\windows\system32\wdigest.dll
2009-08-20 19:26 . 2009-06-15 15:22 213504 ----a-w- c:\windows\system32\msv1_0.dll
2009-08-20 19:26 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll
2009-08-20 19:26 . 2009-06-15 15:23 1256448 ----a-w- c:\windows\system32\lsasrv.dll
2009-08-20 19:26 . 2009-06-15 18:20 439896 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-08-20 19:26 . 2009-06-15 15:24 72704 ----a-w- c:\windows\system32\secur32.dll
2009-08-20 19:26 . 2009-06-15 12:57 9728 ----a-w- c:\windows\system32\lsass.exe
2009-08-20 19:26 . 2009-07-17 14:35 71680 ----a-w- c:\windows\system32\atl.dll
2009-08-20 19:21 . 2009-07-14 13:00 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-08-20 19:21 . 2009-07-14 12:58 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-08-20 19:21 . 2009-07-14 12:59 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-08-20 19:21 . 2009-07-14 10:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-08-20 19:15 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-05 22:01 . 2007-10-22 13:40 836 ----a-w- c:\windows\bthservsdp.dat
2009-09-05 20:41 . 2008-12-11 08:56 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-05 20:36 . 2008-05-22 08:56 -------- d-----w- c:\program files\VideoLAN
2009-09-05 20:27 . 2008-05-24 21:37 -------- d-----w- c:\program files\Java
2009-09-05 19:24 . 2008-04-12 13:01 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-08-26 19:17 . 2008-09-11 08:50 -------- d-----w- c:\users\Abuse\AppData\Roaming\OpenOffice.org2
2009-08-20 18:35 . 2006-11-02 15:48 618442 ----a-w- c:\windows\system32\perfh007.dat
2009-08-20 18:35 . 2006-11-02 15:48 122648 ----a-w- c:\windows\system32\perfc007.dat
2009-08-17 18:41 . 2008-11-05 15:15 101520 ----a-w- c:\users\Moni\AppData\Roaming\nvModes.dat
2009-07-28 18:37 . 2009-07-28 18:36 -------- d-----w- c:\program files\iTunes
2009-07-28 18:37 . 2009-07-28 18:37 -------- d-----w- c:\program files\iPod
2009-07-28 18:37 . 2008-12-22 10:31 -------- d-----w- c:\program files\Common Files\Apple
2009-07-18 16:06 . 2009-07-28 18:42 827904 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 16:01 . 2009-07-28 18:42 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 09:46 . 2009-07-28 18:42 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-09 09:39 . 2008-06-27 11:18 680 ----a-w- c:\users\Moni\AppData\Local\d3d9caps.dat
2009-06-15 15:24 . 2009-07-28 18:42 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 15:20 . 2009-07-28 18:42 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 15:20 . 2009-07-28 18:42 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-06-15 12:52 . 2009-07-28 18:42 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-01-27 01:34 . 2009-01-27 01:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-07-11 03:18 . 2007-07-11 03:18 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((( SnapShot@2009-09-05_17.22.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-10-22 13:18 . 2009-09-05 20:47 41200 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:03 . 2009-09-05 22:04 59270 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-04-20 16:45 . 2009-09-05 22:04 12044 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3702560507-3363755260-1649499183-1001_UserData.bin
- 2007-12-19 21:23 . 2009-08-03 17:15 84661 c:\windows\System32\Macromed\Flash\uninstall_plugin.exe
+ 2009-09-05 20:33 . 2009-09-05 20:33 84661 c:\windows\System32\Macromed\Flash\uninstall_plugin.exe
+ 2009-09-05 20:34 . 2009-09-05 20:34 87617 c:\windows\System32\Adobe\Shockwave 11\uninstaller.exe
+ 2009-07-21 08:02 . 2009-07-21 08:02 94208 c:\windows\System32\Adobe\Shockwave 11\SwMenu.dll
+ 2009-07-21 06:59 . 2009-07-21 06:59 79488 c:\windows\System32\Adobe\Shockwave 11\gtapi.dll
+ 2009-07-21 08:04 . 2009-07-21 08:04 9216 c:\windows\System32\Adobe\Shockwave 11\DynaPlayer.dll
+ 2009-09-05 20:41 . 2009-09-05 20:41 149280 c:\windows\System32\javaws.exe
+ 2009-09-05 20:41 . 2009-09-05 20:41 145184 c:\windows\System32\javaw.exe
+ 2009-09-05 20:41 . 2009-09-05 20:41 145184 c:\windows\System32\java.exe
+ 2009-07-21 06:59 . 2009-07-21 06:59 132472 c:\windows\System32\Adobe\Shockwave 11\SYMCCHECKER.DLL
+ 2009-07-21 08:07 . 2009-07-21 08:07 114688 c:\windows\System32\Adobe\Shockwave 11\SwInit.exe
+ 2009-07-21 08:17 . 2009-07-21 08:17 468408 c:\windows\System32\Adobe\Shockwave 11\SwHelper_1151601.exe
+ 2009-07-21 08:07 . 2009-07-21 08:07 446464 c:\windows\System32\Adobe\Shockwave 11\Proj.dll
+ 2009-07-21 08:02 . 2009-07-21 08:02 372736 c:\windows\System32\Adobe\Shockwave 11\Plugin.dll
+ 2009-07-21 06:59 . 2009-07-21 06:59 714752 c:\windows\System32\Adobe\Shockwave 11\gi.dll
+ 2009-07-21 08:04 . 2009-07-21 08:04 614400 c:\windows\System32\Adobe\Shockwave 11\Control.dll
+ 2009-07-21 08:18 . 2009-07-21 08:18 206264 c:\windows\System32\Adobe\Director\SwDir.dll
+ 2009-07-21 08:03 . 2009-07-21 08:03 131072 c:\windows\System32\Adobe\Director\np32dsw.dll
+ 2009-09-05 20:41 . 2009-09-05 20:41 537600 c:\windows\Installer\b5dbea.msi
- 2006-11-02 10:22 . 2009-09-05 12:11 6553600 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2006-11-02 10:22 . 2009-09-05 20:44 6553600 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2009-07-21 07:07 . 2009-07-21 07:07 1011712 c:\windows\System32\Adobe\Shockwave 11\iml32.dll
+ 2009-07-21 06:59 . 2009-07-21 06:59 1886320 c:\windows\System32\Adobe\Shockwave 11\gt.exe
+ 2009-07-21 07:12 . 2009-07-21 07:12 1798144 c:\windows\System32\Adobe\Shockwave 11\dirapi.dll
+ 2009-09-05 20:40 . 2009-09-05 20:40 3965440 c:\windows\Installer\b5dbe5.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-07-02 159744]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-10-04 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2007-10-04 86016]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]

c:\users\Abuse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2cd04cc576

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1000]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1001]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{5DC1D45C-FEC8-4873-9469-F6957698410F}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{1EEFCD04-1627-4A19-A873-FD6E888A24B6}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{4973C214-FD93-4125-84DC-CD394E772BA7}c:\\program files\\dbox_ifa\\dbox_ifa.exe"= UDP:c:\program files\dbox_ifa\dbox_ifa.exe

box Image Flashing Assistent
"UDP Query User{3EF69F8F-E511-4734-9B83-2A5F3B3E3678}c:\\program files\\dbox_ifa\\dbox_ifa.exe"= TCP:c:\program files\dbox_ifa\dbox_ifa.exe

box Image Flashing Assistent
"TCP Query User{9ADD2EC3-1DF1-4FD9-80B1-1FFA94787EF1}c:\\program files\\dboxboot\\dbox_boot.exe"= UDP:c:\program files\dboxboot\dbox_boot.exe

Box II Boot-Manager
"UDP Query User{13186922-2B06-4354-9734-E72A020F952D}c:\\program files\\dboxboot\\dbox_boot.exe"= TCP:c:\program files\dboxboot\dbox_boot.exe

Box II Boot-Manager
"TCP Query User{53FD6DB0-A2A6-49C0-9795-A76C5135285B}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{EAB26E38-4A6A-4C14-A8FF-4A31112DDE11}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"{2355EE20-E155-4A25-A3A4-98520FD5A2CD}"= UDP:6129

ameWare Mini Remote Control Service
"TCP Query User{9D79F8D7-BC3A-48C1-B6D9-29F65A5E0D4B}c:\\users\\moni\\temp\\teamviewer\\version4\\teamviewer.exe"= UDP:c:\users\moni\temp\teamviewer\version4\teamviewer.exe:teamviewer.exe
"UDP Query User{A1B6E634-C89E-41A0-A182-84244F7143F1}c:\\users\\moni\\temp\\teamviewer\\version4\\teamviewer.exe"= TCP:c:\users\moni\temp\teamviewer\version4\teamviewer.exe:teamviewer.exe
"{7FA617E4-870B-48CC-AF87-C15E59F20DDC}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{079799C7-EE7C-4A61-AB99-93B0523FFC59}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{25F57187-7C60-4AAF-9C0A-67FE5AA1E09D}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{19F2C27F-8CE2-4B90-AD01-4E74BA2F946F}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{DC92ABA2-FE56-4BE4-9353-7D7DD1FEA48D}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{C4043B42-C980-4758-9A45-24FAB9AB6C7E}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\System32\drivers\dwvkbd.sys [15.02.2007 19:00 26624]
R1 ehdrv;ehdrv;c:\windows\System32\drivers\ehdrv.sys [06.02.2009 14:23 106208]
R2 acedrv11;acedrv11;c:\windows\System32\drivers\ACEDRV11.sys [30.07.2008 07:51 277736]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [06.02.2009 14:23 727720]
R2 epfwwfpr;epfwwfpr;c:\windows\System32\drivers\epfwwfpr.sys [06.02.2009 14:24 92800]
R3 b57nd60x;%SvcDispName%;c:\windows\System32\drivers\b57nd60x.sys [22.10.2008 09:10 179712]
R3 DwMirror;DwMirror;c:\windows\System32\drivers\DamewareMini.sys [07.02.2007 19:00 3712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration
.
Inhalt des "geplante Tasks" Ordners

2009-09-05 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 07:58]

2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{C0982906-270C-4E6E-B4C6-939D82F41944}.job
- c:\windows\system32\msfeedssync.exe [2008-10-22 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://192.168.178.25/LiveTV.htm
IE: View EXIF - c:\viewexif\EXIF.htm
FF - ProfilePath - c:\users\Moni\AppData\Roaming\Mozilla\Firefox\Profiles\17d6x1as.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - plugin: c:\users\Moni\AppData\Roaming\Mozilla\Firefox\Profiles\17d6x1as.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-06 00:02
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\rundll32.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\dllhost.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-05 0:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-05 22:11
ComboFix2.txt 2009-09-05 17:29

Vor Suchlauf: 6.125.457.408 Bytes frei
Nach Suchlauf: 6.045.671.424 Bytes frei

254 --- E O F --- 2009-09-05 08:50

john.doe · 05.09.2009, 23:16

Die haben mal wieder an den Berechtigungen herumgeschraubt. Mit einem Tag wird das doch nichts.

1.) Start => Ausführen => combofix /u => OK

2.) Poste ein neues HJT-Log.

ciao, andreas

moni81 · 05.09.2009, 23:26

1. combo gelöscht
2. Wer hat an welchen berechtigungen geschraubt?
3.HJL:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:18, on 06.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\CF29631.exe
C:\Windows\system32\conime.exe
C:\Windows\NIRCMD.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.178.25/LiveTV.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 3436 bytes

john.doe · 05.09.2009, 23:34

Zitat:

2. Wer hat an welchen berechtigungen geschraubt?

Die Schädlinge, da lassen sich zwei Registryeinträge nicht löschen. Das Problem hatte ich schon einmal.

Da werden wir mit Regedit rangehen müssen.

Wie geht es dem Rechner? Noch irgendwelche Meldungen oder Auffälligkeiten?

Starte HJT => Do a system scan only => Markiere:

Zitat:

Alle R1, O2 und O8-Einträge
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

=> Fix checked

Morgen geht es weiter mit Panda und Regedit. Es kann sein, dass du den Panda Online Scanner nochmal neu laden und installieren musst.

ciao, andreas

moni81 · 05.09.2009, 23:39

Rechner läufth im Prinzip normal.
Itunes helper löschen?? mhh ok erledigt.

Ich lasse übernacht nochmal Malwarebytes und panda durchlaufen und dann meld ich mich morgen wieder!

THX

john.doe · 05.09.2009, 23:42

Zitat:

Itunes helper löschen?? mhh ok erledigt.

Damit wird nicht itunes gelöscht, sondern nur der automatische Start bei Windowsstart abgestellt. itunes läuft auch weiterhin.

Gute Nacht,
Andreas

moni81 · 05.09.2009, 23:51

Das ist dazu da das Itunes automatisch bei anschluss eines Ipods startet:-), nicht itunes mit windows. /klugscheissoff
Ich nehms wieder rein nach erfolgsmeldung, morgen.

john.doe · 05.09.2009, 23:57

OK, danke für die Info, habe kein iTunes und man darf nicht alles glauben, was unsere Analyseprogramme so erzählen.

Starte HJT => View the list of backups => Markiere:

Code:

ATTFilter

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

=> Restore

Gute Nacht, Andreas

moni81 · 06.09.2009, 09:07

Guten Morgen,
Malewarebytes sagt auf Intensiv: Alles i.O.

Zitat:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2744
Windows 6.0.6001 Service Pack 1

06.09.2009 10:02:58
mbam-log-2009-09-06 (10-02-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 206921
Laufzeit: 1 hour(s), 43 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und Panda gratuliert auch zu einem nicht infiziertem PC.

Aktueller HJL:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:13, on 06.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.178.25/LiveTV.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 3404 bytes

Sieht doch eigentlich wieder ganz gut aus. Oder übersehe ich da was?
Von welchen 2 Registry einträgen war gester die Rede?

john.doe · 06.09.2009, 12:01

Da sind noch zwei Einträge, die von einem Schädling erzeugt wurden, aber nicht wirklich schädlich sind. Da ich schon einmal erfolglos versucht habe, das zu Richten, obwohl meine Anleitung richtig war, machen wir es kurz:

Du bist entlassen.

ciao, andreas

moni81 · 06.09.2009, 13:17

Dann lassen wir den Befall doch als eintägiges Speed Ereigniss in der Geschichte stehn :-)

Danke und weiter so

Welche einträge sind das denn überhaupt?

john.doe · 06.09.2009, 13:22

Zitat:

Welche einträge sind das denn überhaupt?

Zitat:

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1000]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3702560507-3363755260-1649499183-1001]
"EnableNotificationsRef"=dword:00000001

Benachrichtigungen vom Windows Sicherheitscenter deaktivieren

ciao, andreas

Rootkit.TDSS werde ich nicht los!

Plagegeister aller Art und deren Bekämpfung: Rootkit.TDSS werde ich nicht los!