Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.01.2010, 18:17   #1
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Icon17

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Nach jedem Neustart des PC´s meckert AntiVir über die Datei C:\WINDOWS\system32\driversSecuLay.sys

AntiVir erkennt es als Rkit/Agent.4096. Egal welchen Befehl ich AntiVir gebe, die Datei erscheint nach dem Neustart immer wieder neu.

Hier das LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:26, on 21.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\AmIcoSingLun\AmIcoSinglun.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ASUS\ATK Hotkey\HControlUser.exe
C:\Programme\ASUS\ATK Hotkey\HControl.exe
C:\Programme\ASUS\ATK Media\DMedia.exe
C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe
C:\Programme\ASUS\ASUS Data Security Manager\ADSMTray.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Wireless Console 3\wcourier.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\AsScrPro.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\Elantech\ETDCtrl.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\winservices.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Smart PC Solutions\1-2-3 Spyware Free\SpywareFreeMonitor.exe
C:\WINDOWS\system32\scvhost.exe
C:\Programme\ASUS\ATK Hotkey\ATKOSD.exe
C:\Programme\ASUS\ATK Hotkey\KBFiltr.exe
C:\Programme\ASUS\ATK Hotkey\WDC.exe
C:\Programme\twain_x86.exe
C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\serviceloader.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winservices.exe,C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\serviceloader.exe,C:\WINDOWS\system32\scvhost.exe,C:\Dokumente und Einstellungen\Svenja\Anwendungsdaten\serviceloader.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Tunebite_WebRipPlugin Class - {AA102584-3B97-47e7-B9BC-75D54C110A7D} - D:\Programme\RapidSolution\Tunebite\plugins\IE\TB_WebRipIePlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AmIcoSinglun] C:\Programme\AmIcoSingLun\AmIcoSinglun.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [MsgTranAgt] C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe
O4 - HKLM\..\Run: [HControlUser] C:\Programme\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKHOTKEY] C:\Programme\ASUS\ATK Hotkey\HControl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ADSMTray] C:\Programme\ASUS\ASUS Data Security Manager\ADSMTray.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 3] C:\Programme\ASUS\Wireless Console 3\wcourier.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\AsScrProlog.exe
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [1QV60oMJ06Z0yUnOF2JI] C:\Programme\1QV60oMJ06Z0yUnOF2JI-systemdriver.exe
O4 - HKLM\..\Run: [Windows Service] orospo.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Microsoft WinService] C:\WINDOWS\system32\winservices.exe
O4 - HKLM\..\Run: [Service Man] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [1QV60oMJ06Z0yUnOF2JI] C:\Programme\1QV60oMJ06Z0yUnOF2JI-systemdriver.exe
O4 - HKLM\..\RunServices: [Windows Service] orospo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [psyyyyyy] C:\WINDOWS\psyyyyyy.exe
O4 - HKCU\..\Run: [123SpywareFreeMonitor] D:\Programme\Smart PC Solutions\1-2-3 Spyware Free\SpywareFreeMonitor.exe
O4 - HKCU\..\Run: [Microsoft WinService] C:\WINDOWS\system32\winservices.exe
O4 - HKCU\..\Run: [Windows File Protection] C:\WINDOWS\system32\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FancyStart daemon.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: Aspwdflt - C:\Programme\ASUS\ASUS Data Security Manager\ASPWDFLT.dll
O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - D:\Programme\Stardock\Object Desktop\DeskScapes3\deskscapes.dll (file missing)
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe (file missing)
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 10756 bytes

Alt 22.01.2010, 08:47   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 22.01.2010, 15:41   #3
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



CCleaner, Malwarebytes und RSIT durchgeführt...

Die Logfiles findet ihr hier:
http://www.file-upload.net/download-2185396/Viren.zip.html

Danke
__________________

Alt 24.01.2010, 19:58   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\Programme\1QV60oMJ06Z0yUnOF2JI-systemdriver.exe
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\psyyyyyy.exe
C:\Programme\jh.exe
C:\WINDOWS\system32\L2C27.tmp.exe
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.01.2010, 16:54   #5
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Danke...

http://www.file-upload.net/download-2195699/backup.zip.html


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Programme\1QV60oMJ06Z0yUnOF2JI-systemdriver.exe" not found!
Deletion of file "C:\Programme\1QV60oMJ06Z0yUnOF2JI-systemdriver.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\scvhost.exe" not found!
Deletion of file "C:\WINDOWS\system32\scvhost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\psyyyyyy.exe" not found!
Deletion of file "C:\WINDOWS\psyyyyyy.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Programme\jh.exe" deleted successfully.
File "C:\WINDOWS\system32\L2C27.tmp.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Alt 25.01.2010, 18:18   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Ok und nun bitte CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.

Alt 26.01.2010, 16:22   #7
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



ComboFix 10-01-25.06 - Administrator 26.01.2010 17:09:35.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3037.2437 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Sven\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\318182.exe
c:\programme\ICQ6.5\ICQLRun.exe
c:\programme\twain_x86.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-12-26 bis 2010-01-26 ))))))))))))))))))))))))))))))
.

2010-01-22 14:30 . 2010-01-22 14:30 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-01-22 13:39 . 2010-01-22 13:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-22 13:38 . 2010-01-22 13:38 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-01-22 13:33 . 2010-01-22 13:33 -------- d-----w- C:\rsit
2010-01-22 13:32 . 2010-01-22 13:32 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Malwarebytes
2010-01-22 13:32 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-22 13:32 . 2010-01-22 13:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-22 13:32 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-21 18:12 . 2010-01-21 18:12 -------- d-----w- c:\programme\Trend Micro
2010-01-21 17:28 . 2010-01-21 17:28 4096 ----a-w- c:\windows\system32\driversSecuLay.VIR
2010-01-21 17:18 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-01-21 17:18 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-01-13 12:08 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-11 22:30 . 2010-01-11 22:30 -------- d-----w- c:\dokumente und einstellungen\Svenja\Lokale Einstellungen\Anwendungsdaten\RapidSolution
2010-01-11 22:14 . 2010-01-11 22:14 -------- d-----w- c:\dokumente und einstellungen\Sven\IO
2010-01-11 22:10 . 2010-01-11 22:11 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\QuickScan
2010-01-11 22:10 . 2010-01-11 16:33 789320 ----a-w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\lwqen2q1.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-01-11 22:10 . 2010-01-11 16:32 698184 ----a-w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\lwqen2q1.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2010-01-11 20:39 . 2010-01-26 16:13 -------- d-----w- c:\programme\ICQ6.5
2010-01-11 20:11 . 2010-01-11 20:11 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-01-11 20:10 . 2010-01-11 20:10 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-01-11 14:24 . 2010-01-11 20:36 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\McLoad
2010-01-11 14:24 . 2010-01-11 14:24 40960 ----a-w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
2010-01-11 14:24 . 2010-01-11 14:24 106496 ----a-w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
2010-01-11 14:24 . 2010-01-11 14:24 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\OCS
2010-01-11 13:57 . 2010-01-11 14:02 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\ICQLite
2010-01-08 13:29 . 2010-01-08 13:29 476512 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\RadioRip.dll
2010-01-08 13:29 . 2010-01-08 13:29 169312 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgSoundclick.dll
2010-01-08 13:29 . 2010-01-08 13:29 111968 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgPandora.dll
2010-01-08 13:29 . 2010-01-08 13:29 128352 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgMyspace.dll
2010-01-08 13:29 . 2010-01-08 13:29 99680 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgIJigg.dll
2010-01-08 13:29 . 2010-01-08 13:29 230752 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgHypemachine.dll
2010-01-08 13:29 . 2010-01-08 13:29 111968 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgLastfm.dll
2010-01-08 13:29 . 2010-01-08 13:29 120160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgGeneral.dll
2010-01-08 13:29 . 2010-01-08 13:29 87392 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgDefault.dll
2010-01-08 13:29 . 2010-01-08 13:29 140640 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\RadioRip\PlgDeezer.dll
2010-01-08 13:29 . 2010-01-08 13:29 495616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\Tunebite_2009\EncodingBackend\lame_enc.dll
2010-01-08 13:28 . 2010-01-08 13:28 -------- d-----w- c:\programme\PixiePack Codec Pack
2010-01-08 13:26 . 2010-01-08 13:26 -------- d-----w- c:\temp\Audials Recorded Webvideos
2010-01-08 13:26 . 2010-01-08 13:26 -------- d-----w- c:\temp\Audials Converted Videos
2010-01-08 13:26 . 2010-01-08 13:26 -------- d-----w- C:\Temp
2010-01-08 13:25 . 2010-01-08 14:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution
2010-01-08 13:24 . 2010-01-08 14:12 -------- d-----w- c:\dokumente und einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\RapidSolution
2010-01-06 19:06 . 2010-01-06 19:06 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-06 14:16 . 2009-01-23 09:49 37664 ----a-w- c:\windows\system32\drivers\tbhsd.sys
2010-01-06 14:16 . 2010-01-06 14:16 27168 ----a-w- c:\windows\system32\drivers\rrnetcap.sys
2010-01-03 19:45 . 2010-01-03 19:45 -------- d-----w- c:\dokumente und einstellungen\Svenja\Anwendungsdaten\Teleca
2010-01-03 19:45 . 2010-01-03 19:45 -------- d-----w- c:\dokumente und einstellungen\Svenja\Anwendungsdaten\Sony Ericsson
2010-01-03 13:52 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-01-03 13:52 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-01-03 13:52 . 2001-08-18 03:54 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-01-03 13:52 . 2008-04-14 02:22 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-01-03 13:50 . 2010-01-03 13:50 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Teleca
2010-01-03 13:48 . 2010-01-03 13:48 -------- d-----w- c:\dokumente und einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Sony Ericsson
2010-01-03 13:48 . 2010-01-03 13:48 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Sony Ericsson
2010-01-03 13:48 . 2010-01-09 14:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Teleca Shared
2010-01-02 17:47 . 2010-01-02 17:47 -------- d-----w- c:\dokumente und einstellungen\Svenja\Lokale Einstellungen\Anwendungsdaten\Yahoo!

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 19:10 . 2009-11-11 20:07 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\icq
2010-01-20 16:34 . 2001-08-18 11:00 80306 ----a-w- c:\windows\system32\perfc007.dat
2010-01-20 16:34 . 2001-08-18 11:00 449044 ----a-w- c:\windows\system32\perfh007.dat
2010-01-20 16:29 . 2009-11-28 08:33 -------- d-----w- c:\programme\Microsoft Silverlight
2010-01-13 17:49 . 2009-11-12 15:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-01-13 15:24 . 2009-11-14 14:38 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-01-13 14:32 . 2009-11-11 19:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-01-08 13:11 . 2010-01-08 13:11 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\FreeAudioPack
2009-12-27 11:26 . 2009-12-27 11:26 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-27 11:26 . 2009-12-27 11:26 -------- d-----w- c:\programme\Java
2009-12-27 11:25 . 2009-12-27 11:25 152576 ----a-w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-27 11:25 . 2009-12-27 11:25 79488 ----a-w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-21 19:05 . 2004-08-03 22:57 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-11 16:42 . 2009-12-11 16:42 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\GUIcommon.dll
2009-12-09 14:37 . 2009-12-09 14:36 1405248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps\2363\setup_Fotoservice.exe
2009-12-08 13:06 . 2009-11-11 20:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-05 23:36 . 2009-12-05 23:33 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Move Networks
2009-12-03 11:59 . 2009-12-03 11:59 -------- d-----w- c:\dokumente und einstellungen\Sven\Anwendungsdaten\Songbird2
2009-11-21 15:54 . 2004-08-03 22:57 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-18 18:48 . 2009-11-18 18:48 45056 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-14 15:09 . 2009-11-11 18:13 70928 ----a-w- c:\dokumente und einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-14 14:19 . 2009-11-11 18:06 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-11-11 21:36 . 2009-11-11 21:36 126792 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Desktop Earth {EB1EDBF1-3A47-4C74-8E89-21100F91B395}\DesktopEarth64.dll
2009-11-11 21:36 . 2009-11-11 21:36 120136 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Desktop Earth {EB1EDBF1-3A47-4C74-8E89-21100F91B395}\DesktopEarth32.dll
2009-11-11 21:36 . 2009-11-11 21:36 131584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Winter Snow {06BBDA24-46A2-4968-8A26-789601269427}\WinterSnow64.dll
2009-11-11 21:36 . 2009-11-11 21:36 126976 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Winter Snow {06BBDA24-46A2-4968-8A26-789601269427}\WinterSnow32.dll
2009-11-11 21:36 . 2009-11-11 21:36 259888 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Water Dream {40FC92D4-8FCB-4FD1-A502-B886521589D4}\water64.dll
2009-11-11 21:36 . 2009-11-11 21:36 206128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Water Dream {40FC92D4-8FCB-4FD1-A502-B886521589D4}\water32.dll
2009-11-11 21:36 . 2009-11-11 21:36 93184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Desktop Slideshow {C532A024-329D-4C2D-81CF-AFE381DF4D82}\slideshow64.dll
2009-11-11 21:36 . 2009-11-11 21:36 90112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock\DeskScapes\ExtractedData\Desktop Slideshow {C532A024-329D-4C2D-81CF-AFE381DF4D82}\slideshow32.dll
2009-11-11 20:06 . 2009-11-11 20:06 0 ----a-w- c:\windows\nsreg.dat
2009-11-11 19:30 . 2009-11-11 19:30 1962544 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player_ax.exe
2009-11-11 18:37 . 2009-11-11 18:37 47672 ----a-w- c:\windows\AsScrProlog.exe
2009-11-11 18:37 . 2009-11-11 18:37 4814371 ----a-w- c:\windows\ASUS Camera ScreenSaver.exe
2009-11-11 18:37 . 2009-11-11 18:37 281144 ----a-w- c:\windows\ASUS Camera ScreenSaver Uninstaller.exe
2009-11-11 18:37 . 2009-11-11 18:37 520192 ----a-w- c:\windows\system32\Asus_Camera_ScreenSaver.scr
2009-11-11 18:37 . 2009-11-11 18:37 3054136 ----a-w- c:\windows\AsScrPro.exe
2009-11-11 18:31 . 2009-11-11 18:31 30264 ----a-w- c:\windows\system32\drivers\AsDsm.sys
2009-11-11 18:04 . 2009-11-11 18:04 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-10-28 19:58 . 2009-10-28 19:58 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-01 16:08 143360 ----a-w- c:\programme\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"123SpywareFreeMonitor"="d:\programme\Smart PC Solutions\1-2-3 Spyware Free\SpywareFreeMonitor.exe" [2008-09-26 237056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"AmIcoSinglun"="c:\programme\AmIcoSingLun\AmIcoSinglun.exe" [2009-04-02 237568]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-03-23 33599488]
"MsgTranAgt"="c:\programme\ASUS\ATK Hotkey\MsgTranAgt.exe" [2008-08-18 117304]
"HControlUser"="c:\programme\ASUS\ATK Hotkey\HControlUser.exe" [2008-08-18 98304]
"ATKHOTKEY"="c:\programme\ASUS\ATK Hotkey\HControl.exe" [2009-03-20 174648]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMedia.exe" [2009-04-07 159744]
"ATKOSD2"="c:\programme\ASUS\ATKOSD2\ATKOSD2.exe" [2009-03-04 8392704]
"ADSMTray"="c:\programme\ASUS\ASUS Data Security Manager\ADSMTray.exe" [2008-03-31 266240]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"Wireless Console 3"="c:\programme\ASUS\Wireless Console 3\wcourier.exe" [2009-02-06 1593344]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-11-11 3054136]
"ASUS Camera ScreenSaver"="c:\windows\AsScrProlog.exe" [2009-11-11 47672]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2008-09-30 851968]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2009-03-30 418816]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-27 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Svenja\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FancyStart daemon.lnk - c:\windows\Installer\{F9F20920-313D-4D6F-866B-2737B77E1857}\_DC60F4E342E06843E7FCD0.exe [2009-11-11 12862]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Aspwdflt]
2009-02-10 19:33 1556480 ----a-w- c:\programme\ASUS\ASUS Data Security Manager\ASPWDFLT.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"ø[’|€ø"= ø[’|€ø:Windows Service
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Smart PC Solutions\\1-2-3 Spyware Free\\SpywareFree.exe"=

R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\accvssvc.exe [11.11.2009 19:50 126976]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [11.11.2009 21:03 108289]
R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [11.11.2009 19:38 129024]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [11.11.2009 19:26 1057280]
S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\e:\i386\AsProcOb.sys --> e:\i386\AsProcOb.sys [?]
S3 ipswuio;ipswuio;c:\windows\system32\drivers\ipswuio.sys [11.11.2009 19:33 41656]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32 8192 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2009-11-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\lwqen2q1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google (Language: DE)
FF - prefs.js: browser.startup.homepage - hxxp://www.meinvz.net/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search
FF - component: c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\lwqen2q1.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - component: d:\programme\RapidSolution\Tunebite\plugins\GeckoBased\tunebite-firefox-surf-and-catch-extension@audials.com\components\TB_WebRipFFPlugin.dll
FF - plugin: c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\lwqen2q1.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\dokumente und einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\lwqen2q1.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\programme\RapidSolution\Tunebite\plugins\GeckoBased\tunebite-firefox-surf-and-catch-extension@audials.com\plugins\np_TB_OgloPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-psyyyyyy - c:\windows\psyyyyyy.exe
HKCU-Run-Windows File Protection - c:\windows\system32\scvhost.exe
Notify-WB - d:\programme\Stardock\Object Desktop\MyColors\fastload.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-26 17:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????

Scanne versteckte Dateien...


C:\ADSM_PData_0150

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-1078145449-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(732)
c:\programme\ASUS\ASUS Data Security Manager\ASPWDFLT.dll

- - - - - - - > 'explorer.exe'(2764)
c:\programme\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt.dll
c:\programme\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\ASUS\ASUS Data Security Manager\ADSMSrv.exe
c:\programme\ATKGFNEX\GFNEXSrv.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\ACEngSvr.exe
c:\programme\ASUS\ATK Hotkey\ATKOSD.exe
c:\programme\ASUS\ATK Hotkey\KBFiltr.exe
c:\programme\ASUS\ATK Hotkey\WDC.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-26 17:20:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-26 16:20

Vor Suchlauf: 9 Verzeichnis(se), 24.774.782.976 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 26.360.250.368 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 201EB2A6501FCE9E116DA8597AD11585

Alt 26.01.2010, 20:01   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Zitat:
Nach jedem Neustart des PC´s meckert AntiVir über die Datei C:\WINDOWS\system32\driversSecuLay.sys
Erscheint diese Datei bei jedem Start noch?
Egal ob ja oder nein, bitte ein Durchlauf mit GMER machen und Log posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.01.2010, 21:04   #9
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Hey...die Datei erscheint nicht mehr, Danke dafür.

Durchlauf mit GMER habe ich gemacht. Allerdings schmiert mir der PC nach dem Durchlauf komplett ab. Kein Programm lässt sich öffnen usw. Scheint total überlastet zu sein. Ist mir daher also leider nicht möglich, das Log zu posten.

Schlimm?

Alt 27.01.2010, 21:30   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Naja, GMER neigt dazu, auf manchen PC abzustürzen.

Mach am besten noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 09:55   #11
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3649
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.01.2010 10:55:13
mbam-log-2010-01-28 (10-55-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 189355
Laufzeit: 42 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{E6F5568B-7BA3-4CE5-9C3A-096463463B46}\RP85\A0016386.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E6F5568B-7BA3-4CE5-9C3A-096463463B46}\RP85\A0016413.com (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 28.01.2010, 10:05   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Sieht gut aus, "nur" noch Funde in der SWH - Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Danach kann ich Dich entlassen, oder sind noch akute Probleme da?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 18:10   #13
Sobotzik
 
Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Standard

Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.



Erledigt...großes Dankeschön...:-)

Keine Probleme mehr...

Antwort

Themen zu Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.
antivir, antivir guard, avira, bho, bonjour, browser, computer, desktop, entfernen, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft security, mozilla, mozilla thunderbird, object, saver, screensaver, security, security update, senden, software, spyware, system, userinit.exe, windows, windows xp, wlan



Ähnliche Themen: Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen.


  1. Schadsoftware eingefangen (Vermutlich noch nicht erkannt)
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (3)
  2. TR/Agent.AOXU und RKIT/Agent.depg.1
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (3)
  3. 4096 bit PGP-RSA Trojaner eingefangen
    Log-Analyse und Auswertung - 04.05.2012 (9)
  4. Verschlüsselungstrojaner 4096-Bit PGP-RSA entfernen
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (5)
  5. Verschlüsselungstrojaner 4096-Bit PGP-RSA entfernen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2012 (1)
  6. (2x) Verschlüsselungstrojaner 4096-Bit PGP-RSA entfernen
    Mülltonne - 02.05.2012 (2)
  7. Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen?
    Log-Analyse und Auswertung - 29.01.2012 (25)
  8. Rkit/agent.10248192
    Plagegeister aller Art und deren Bekämpfung - 05.01.2012 (4)
  9. RKIT/Agent.AW
    Plagegeister aller Art und deren Bekämpfung - 06.01.2011 (1)
  10. RKIT/Agent.biiu entfernt oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (1)
  11. RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (25)
  12. Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll
    Plagegeister aller Art und deren Bekämpfung - 03.08.2010 (34)
  13. RKIT/Agent.483856 lässt sich nicht löschen!
    Log-Analyse und Auswertung - 13.04.2009 (1)
  14. Trojaner RKIT/Agent.cva lässt sich nicht löschen
    Log-Analyse und Auswertung - 04.09.2008 (3)
  15. RKIT/Agent.WK
    Plagegeister aller Art und deren Bekämpfung - 21.02.2008 (1)
  16. Trojaner eingefangen: TR/Rkit.Bagle.GL - Hilfeee..
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (7)
  17. TR/RKit.Agent.Q
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (9)

Zum Thema Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. - Nach jedem Neustart des PC´s meckert AntiVir über die Datei C:\WINDOWS\system32\driversSecuLay.sys AntiVir erkennt es als Rkit/Agent.4096. Egal welchen Befehl ich AntiVir gebe, die Datei erscheint nach dem Neustart immer wieder - Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen....
Archiv
Du betrachtest: Vermutlich Rkit/Agent.4096 eingefangen, driversSecuLay.sys nicht zu entfernen. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.