Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rechner verseucht, werde den Trojaner nicht los.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.03.2011, 10:32   #1
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Hallo,

ich habe mal wieder den (Windows XP) PC eines Bekannten auf dem OP-Tisch.

Das Symptom war:
Nach Hochfahren erscheint kurz der Desktop, dann verschwindet der Desktop wieder nach 2-3 Sekunden, es sind keine Handlungen mehr möglich, auch kein Taskmanager kann gestartet werden.

Was ich gemacht habe:
Ultimate-Boot-CD prüfen lassen/Malwarebytes laufen lassen und ein paar Autostarts entfernt etc.

Ergebnis:
PC kann wieder "benutzt" werden, Desktop bleibt erhalten. AAAABER: Ich bekomme den Trojaner nicht runter. Egal was ich (via Boot-CD entferne), ist beim Start leider wieder da. Ich bekomme immer wieder einen Autostart, die *.exe legt sich wieder an etc.

Auch infiziert das Biest jeden eingestöpselten USB-Stick (kopiert Dateien in den "Recycler"-Ordner und legt ein Autostart.inf an), ich hatte schon Glück, sonst hätte ich meine Kiste auch inifziert (mein Win7 hat den autorun.inf geblockt), seitdem schicke ich die Logs nur noch per Text-Mail hin und her.

Anbei die Logs, vielleicht habt ihr eine Idee:

HijackThis
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:46:11, on 16.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Programme\oaooxywo\wggbiygf.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - hxxp://217.91.155.3:2250/activex/AMC.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
End of file - 3096 bytes
Malwarebytes
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6065

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.03.2011 08:45:50
mbam-log-2011-03-16 (08-45-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 262343
Laufzeit: 39 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\Avira\antivir desktop\avguardmgr.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{31fd63dd-f75a-425f-820c-17a74eaddddf}\RP2\A0000112.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{31fd63dd-f75a-425f-820c-17a74eaddddf}\RP2\A0000113.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{31fd63dd-f75a-425f-820c-17a74eaddddf}\RP2\A0000114.exe (Trojan.Agent) -> No action taken.
c:\windows\system32\config\systemprofile\startmenü\programme\autostart\wggbiygf.exe (Trojan.Agent) -> No action taken.

OTL
Zitat:
OTL logfile created on: 16.03.2011 08:54:09 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 77,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 220,38 Gb Total Space | 194,98 Gb Free Space | 88,47% Space Free | Partition Type: NTFS
Drive D: | 74,50 Gb Total Space | 74,08 Gb Free Space | 99,43% Space Free | Partition Type: NTFS

Computer Name: AMBOSS | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV - (catchme) -- File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)
DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (pavboot) -- C:\WINDOWS\system32\drivers\pavboot.sys (Panda Security, S.L.)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (zebrsce) -- C:\WINDOWS\system32\drivers\zebrsce.sys (MCCI)
DRV - (zebrmdmc) Sony Ericsson mRouter Port (WDM) -- C:\WINDOWS\system32\drivers\zebrmdmc.sys (MCCI)
DRV - (zebrmdm) Sony Ericsson Port (WDM) -- C:\WINDOWS\system32\drivers\zebrmdm.sys (MCCI)
DRV - (zebrmdfl) -- C:\WINDOWS\system32\drivers\zebrmdfl.sys (MCCI Corporation)
DRV - (zebrbus) -- C:\WINDOWS\system32\drivers\zebrbus.sys (MCCI)
DRV - (zebrceb) Sony Ericsson Cable Emulation Bus (WDM) -- C:\WINDOWS\system32\drivers\zebrceb.sys (MCCI)
DRV - (auusb) -- C:\WINDOWS\system32\drivers\auusb.sys (Auerswald GmbH & Co. KG )
DRV - (tausb) -- C:\WINDOWS\system32\drivers\tausb.sys (Auerswald GmbH & Co. KG )
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2
FF - prefs.js..keyword.URL: "hxxp://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..network.proxy.type: 0
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "chrome://browser-region/locale/region.properties"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"

FF - HKLM\software\mozilla\Firefox\extensions\\{E5886C91-CDD7-4832-B32D-0830705A9C60}: C:\WINDOWS\system32\5012 [2011.03.04 15:24:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.16 00:05:06 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.16 00:05:06 | 000,000,000 | ---D | M]

[2010.10.23 13:54:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions
[2011.03.16 00:05:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\extensions
[2010.10.30 11:02:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.10 13:57:37 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.10.23 13:54:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.03.16 00:05:01 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.16 00:05:01 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.16 00:05:01 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.16 00:05:01 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.16 00:05:01 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.03.16 01:03:34 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} hxxp://217.91.155.3:2250/activex/AMC.cab (AxisMediaControlEmb Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Programme\oaooxywo\wggbiygf.exe) - C:\Programme\oaooxywo\wggbiygf.exe File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.06 20:34:00 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.03.16 08:53:26 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
[2011.03.16 08:04:24 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Andreas\Desktop\HiJackThis.exe
[2011.03.16 07:52:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.03.16 07:52:53 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.03.16 00:53:29 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.03.16 00:52:35 | 000,000,000 | ---D | C] -- C:\Programme\oaooxywo
[2011.03.15 19:05:34 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2011.03.15 16:46:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Desktop\back
[2011.03.15 15:25:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes
[2011.03.15 15:25:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.03.15 15:25:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.03.15 15:25:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.03.15 15:25:12 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.03.15 15:25:12 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.03.04 15:24:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5012
[2011.02.15 08:41:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5011
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.03.16 08:53:37 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
[2011.03.16 08:04:31 | 000,401,720 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Andreas\Desktop\HiJackThis.exe
[2011.03.16 07:40:42 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.16 07:40:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.16 03:00:25 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.03.16 01:51:14 | 004,287,930 | R--- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe
[2011.03.16 01:03:34 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.03.16 00:03:20 | 000,097,130 | ---- | M] () -- C:\WINDOWS\Explorermgr.exe
[2011.03.15 19:03:06 | 000,000,354 | RHS- | M] () -- C:\boot.ini
[2011.03.15 15:25:15 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.08 15:00:02 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.03.07 10:41:30 | 000,000,482 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Verknüpfung mit Sounds und Audiogeräte.lnk
[2011.02.28 18:18:46 | 000,002,351 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Lexware financial office.lnk
[2011.02.23 17:36:52 | 000,000,765 | ---- | M] () -- C:\WINDOWS\CAD-Symbols_Technobox.ini
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.03.16 01:49:48 | 004,287,930 | R--- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe
[2011.03.16 00:03:20 | 000,097,130 | ---- | C] () -- C:\WINDOWS\Explorermgr.exe
[2011.03.15 15:25:15 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.07 10:41:30 | 000,000,482 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Verknüpfung mit Sounds und Audiogeräte.lnk
[2011.01.20 18:18:19 | 000,000,144 | ---- | C] () -- C:\WINDOWS\PCFK32.INI
[2011.01.20 10:24:30 | 000,233,547 | R--- | C] () -- C:\WINDOWS\System32\aucoinst.dll
[2011.01.20 10:24:30 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\RasXP.exe
[2011.01.20 10:24:30 | 000,010,570 | R--- | C] () -- C:\WINDOWS\drvinfo.ini
[2011.01.20 10:16:02 | 000,315,444 | ---- | C] () -- C:\WINDOWS\System32\isdnapi32.dll
[2011.01.20 10:16:02 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\AuerCapiJNINative.dll
[2011.01.20 10:16:02 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\AuerUsbJNINative.dll
[2010.12.18 15:06:54 | 000,000,765 | ---- | C] () -- C:\WINDOWS\CAD-Symbols_Technobox.ini
[2010.11.02 08:36:08 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010.10.23 13:54:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.10.21 14:19:42 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2010.10.21 14:18:46 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2010.10.21 14:16:58 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2010.10.21 14:16:34 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2010.10.12 16:41:48 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Bhabebazo.dat
[2010.10.12 16:41:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Rtanirumecahale.bin
[2010.07.22 12:59:07 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.17 00:27:54 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.02.17 00:27:54 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.02.17 00:27:54 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.02.17 00:27:54 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.02.17 00:27:54 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2009.12.29 13:56:30 | 000,000,043 | ---- | C] () -- C:\WINDOWS\FAFirmAssi.INI
[2009.08.06 11:50:42 | 000,000,031 | ---- | C] () -- C:\WINDOWS\DeskCalc.INI
[2009.07.08 07:11:03 | 000,000,630 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.07.08 07:11:03 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD2040.DAT
[2009.07.08 07:09:08 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2009.07.08 07:09:08 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI
[2009.07.08 07:09:08 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.07.08 07:09:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL
[2009.07.08 07:09:00 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL
[2009.07.08 07:09:00 | 000,009,013 | ---- | C] () -- C:\WINDOWS\HL-2040.INI
[2009.07.08 07:09:00 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL
[2009.07.06 23:52:38 | 000,000,148 | ---- | C] () -- C:\WINDOWS\LFOInterChangeServer.INI
[2009.07.06 22:53:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.07.06 22:50:03 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.07.06 22:38:28 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.07.06 22:37:59 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2009.07.06 21:59:33 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.07.06 21:27:56 | 000,004,359 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.07.06 21:27:04 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.07.06 20:35:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.07.06 20:31:48 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2007.12.05 12:39:14 | 000,343,040 | ---- | C] () -- C:\WINDOWS\System32\lffpx7.dll
[2007.12.05 12:39:14 | 000,116,736 | ---- | C] () -- C:\WINDOWS\System32\lfkodak.dll
[2006.12.06 08:18:24 | 001,683,456 | ---- | C] () -- C:\WINDOWS\System32\LTCLR13n.dll
[2005.03.29 16:54:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.03.29 16:54:44 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 11:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 11:00:00 | 000,495,242 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 11:00:00 | 000,475,136 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 11:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 11:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 11:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 11:00:00 | 000,091,150 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 11:00:00 | 000,076,170 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 11:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 11:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 11:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 11:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 11:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 11:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.12.12 12:41:36 | 000,041,472 | ---- | C] () -- C:\WINDOWS\System32\W32btstp.dll
[2001.12.12 12:41:36 | 000,025,088 | ---- | C] () -- C:\WINDOWS\System32\W32btxlt.dll
< End of report >
Combofix
Zitat:
ComboFix 11-03-15.01 - Andreas 16.03.2011 7:45.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1681 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-02-16 bis 2011-03-16 ))))))))))))))))))))))))))))))
.
.
2011-03-15 23:52 . 2011-03-16 06:40 -------- d-----w- c:\programme\oaooxywo
2011-03-15 23:03 . 2011-03-15 23:03 97130 ----a-w- c:\windows\Explorermgr.exe
2011-03-15 14:25 . 2011-03-15 14:25 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2011-03-15 14:25 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-15 14:25 . 2011-03-15 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-15 14:25 . 2011-03-15 14:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-03-15 14:25 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-03-09 09:19 . 2011-03-09 09:19 -------- d-----w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Pnpdep
2011-03-04 14:24 . 2011-03-04 14:24 -------- d-----w- c:\windows\system32\5012
2011-02-28 14:49 . 2011-03-09 09:18 -------- d-----r- c:\windows\system32\config\systemprofile\Eigene Dateien
2011-02-15 07:41 . 2011-02-15 07:41 -------- d-----w- c:\windows\system32\5011
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2004-08-04 10:00 270848 ------w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 10:00 186880 ------w- c:\windows\system32\encdec.dll
2011-02-07 16:02 . 2011-02-07 16:02 1425408 ----a-w- c:\windows\system32\FormAssi80.dll
2011-02-05 15:25 . 2011-02-05 15:25 57344 ----a-w- c:\windows\system32\FKStampPainter20.dll
2011-02-04 11:00 . 2011-02-04 07:49 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-02-04 11:00 . 2011-02-04 07:49 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-02-02 17:43 . 2011-02-02 17:43 90112 ----a-w- c:\windows\system32\lxdao11VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 81920 ----a-w- c:\windows\system32\LxCI12.dll
2011-02-02 17:43 . 2011-02-02 17:43 69632 ----a-w- c:\windows\system32\PXTTool80VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 61440 ----a-w- c:\windows\system32\LXCurr12VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 4648960 ----a-w- c:\windows\system32\LxXtreme70VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 27648 ----a-w- c:\windows\system32\LXTPSW20VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 196608 ----a-w- c:\windows\system32\LxBasics91VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 188416 ----a-w- c:\windows\system32\LxDBAL11VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 135168 ----a-w- c:\windows\system32\LxMail30VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 1335296 ----a-w- c:\windows\system32\LXTool91VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 118784 ----a-w- c:\windows\system32\LxOdbc11VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 110592 ----a-w- c:\windows\system32\LxUISettings20Native.dll
2011-02-02 07:58 . 2009-07-06 19:31 2067456 ------w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2009-07-06 19:31 677888 ------w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-04 10:00 440832 ------w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-04 10:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2004-08-04 10:00 1855104 ------w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-04 10:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2004-08-04 10:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2004-08-04 10:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2004-08-04 10:00 737792 ------w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-04 10:00 385024 ------w- c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((( SnapShot@2011-03-16_00.03.38 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-04 10:00 . 2009-07-27 23:16 135680 c:\windows\system32\shsvcs.dll
+ 2009-07-27 23:16 . 2009-07-27 23:16 135680 c:\windows\system32\dllcache\shsvcs.dll
+ 2011-02-09 13:53 . 2011-02-09 13:53 270848 c:\windows\system32\dllcache\sbe.dll
+ 2011-01-27 11:57 . 2011-01-27 11:57 677888 c:\windows\system32\dllcache\lhmstsc.exe
+ 2011-02-09 13:53 . 2011-02-09 13:53 186880 c:\windows\system32\dllcache\encdec.dll
+ 2011-02-02 07:58 . 2011-02-02 07:58 2067456 c:\windows\system32\dllcache\lhmstscx.dll
+ 2009-07-06 20:40 . 2011-03-16 02:00 37943240 c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ------w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-17 06:24 40368 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advuser]
2011-03-14 14:52 500105 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Pnpdep\gramod.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2011-02-04 11:00 281768 ------w- c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52 15360 ------w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2010-09-15 09:11 339312 ------w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite for Smartphones]
2007-11-08 12:06 704877 ----a-r- c:\programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2006-03-20 14:00 282624 ----a-w- c:\windows\stsystra.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-06 23:15 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Intuwave\\Shared\\mRouterRuntime\\mRouterRuntime.exe"=
"c:\\Programme\\Sony Ericsson\\Mobile4\\Sync Manager\\DXP SyncML.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [16.02.2010 18:48 28552]
S2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [04.02.2011 08:49 339624]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.02.2011 08:49 135336]
S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [04.02.2011 08:49 403624]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [20.01.2011 10:24 71184]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [20.01.2011 10:25 69392]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://217.91.155.3:2250/activex/AMC.cab
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - SweetIM Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-16 07:51
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwQueryDirectoryFile
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(752)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(4092)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\programme\Malwarebytes' Anti-Malware\mbamext.dll
.
Zeit der Fertigstellung: 2011-03-16 07:52:55
ComboFix-quarantined-files.txt 2011-03-16 06:52
ComboFix2.txt 2011-03-16 00:04
ComboFix3.txt 2010-10-23 12:42
.
Vor Suchlauf: 12 Verzeichnis(se), 210.405.605.376 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 210.389.999.616 Bytes frei
.
- - End Of File - - DA8B1FF6E2884347F3E0E2A77CE6A1D5

Alt 16.03.2011, 12:01   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Wieso hast du zwei Dateien mit MBAM nicht entfernt? Grundsätzlich sollst du alle Dateien entfernen.
__________________

__________________

Alt 16.03.2011, 13:12   #3
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



MWB findet meist 5 Dateien (1 Reg-Key), er löscht alles bis auf eine Datei (c:\programme\Avira\antivir desktop\avguardmgr.exe ), die er erst beim Reboot löschen will. Das klappt aber wohl nicht. Nach einem Reboot ist wieder alles da, als hätte MWB nichts gelöscht. Noch schlimmer ist, wenn ich die Datei "manuell" lösche durch booten via Boot-CD kann ich das auch tun, aber auch dann ist sie wieder da beim nächsten Mal.
__________________

Alt 16.03.2011, 13:39   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Anscheinend wurde dein AntiVir manipuliert. Deinstallier es mal komplett, denn falls es so ist ist AntiVir im jetzigen Zustand eh unbrauchbar.

Nach der Deinstallation einen OTL-Fix machen:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
[2010.10.12 16:41:48 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Bhabebazo.dat
[2010.10.12 16:41:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Rtanirumecahale.bin
:Files
c:\programme\Avira\antivir desktop
c:\windows\system32\config\systemprofile\Eigene Dateien
c:\dokumente und einstellungen\Default User\Anwendungsdaten\Pnpdep
c:\programme\oaooxywo
c:\windows\Explorermgr.exe
c:\windows\system32\config\systemprofile\startmenü\programme\autostart\wggbiygf.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.03.2011, 11:11   #5
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Ich hab gestern noch 2 Stündchen gemacht und getan, aber habe es jetzt aufgegeben. Ich kann auf dem PC löschen was ich will, nach einem Reboot ist es wieder da. Es starten dann z.B. zwei drei "firefox.exe" oder auch "iexplore.exe" benannte Prozesse die wohl gleich alles herstellen, wo auch immer die herkommen und wie sie geladen werden. Mit OTL-Fix und mit MWB bringt es leider nichts. Die lasse ich alles gefundene entfernen, dann fahre ich runter, starte die UltimateBootCD und finde z.B. auf der Platte gleich wieder x *mgr.exe Dateien (die erkennt man an einem defekten WIndows Icon), die gehören alle dazu. Er benennt sich nach irgendwelchen EXE Dateien auf dem System und packt ein mgr an die Bezeichnung an. Also ich habe auch taskmgrmgr.exe, avguardmgr.exe, explorermgr.exe etc. pp, warum noch ein halbes Dutzend andere. Aber entweder finden die Tools die Dateien nicht oder sie sind beim runterfahren schon wieder da. Verhext, ich weiss nicht wie die Dinger starten, solange ich das nicht abstellen kann, bringt alles nix. Wie gesagt, das löschen von der wggbiygf.exe bringt nix, die kann ich löschen, trotzdem ist die scheisse wieder da.


Alt 17.03.2011, 11:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Hast du den OTL-Fix nun gemacht oder nicht?? Bitte das Log posten.

Danach Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
--> Rechner verseucht, werde den Trojaner nicht los.

Alt 17.03.2011, 11:45   #7
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Ja, gestern nachmittag noch, danach noch 2 Stunden rumgefurwerkt. Im nächsten Lauf hab ich wieder andere Dateien drauf.
Ich mach nochmal einen aktuellen OTL Log.

Alt 17.03.2011, 14:33   #8
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Der MBR-Check und GMER (jetzt fertig):

Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000003ec

Kernel Drivers (total 114):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA328000 PartMgr.sys
0xBA330000 pavboot.sys
0xBA0C8000 VolSnap.sys
0xB9E6B000 iaStor.sys
0xBA338000 cercsr6.sys
0xB9E53000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9E33000 fltmgr.sys
0xB9E21000 sr.sys
0xB9E0A000 KSecDD.sys
0xB9DF7000 WudfPf.sys
0xB9D6A000 Ntfs.sys
0xB9D3D000 NDIS.sys
0xB9D23000 Mup.sys
0xBA2B8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB917E000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xAD3A3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xAD36A000 \SystemRoot\system32\DRIVERS\e1e5132.sys
0xB2191000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xAD346000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB2189000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xAD31E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xAEE17000 \SystemRoot\system32\DRIVERS\imapi.sys
0xAE73B000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xAE72B000 \SystemRoot\system32\DRIVERS\redbook.sys
0xAD2FB000 \SystemRoot\system32\DRIVERS\ks.sys
0xAE64A000 \SystemRoot\system32\DRIVERS\audstub.sys
0xAE71B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xAE24D000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xAD2E4000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xAE70B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xAE6FB000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB2181000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xAD2D3000 \SystemRoot\system32\DRIVERS\psched.sys
0xAE6EB000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB2179000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB2171000 \SystemRoot\system32\DRIVERS\raspti.sys
0xAD2A3000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xAE6DB000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA410000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB7574000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA608000 \SystemRoot\system32\DRIVERS\swenum.sys
0xAD245000 \SystemRoot\system32\DRIVERS\update.sys
0xAE231000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xAE6CB000 \SystemRoot\system32\DRIVERS\zebrceb.sys
0xBA60A000 \SystemRoot\system32\DRIVERS\zebrwh.sys
0xAE6BB000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA60C000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAE6AB000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xA10F3000 \SystemRoot\system32\drivers\sthda.sys
0xA10CF000 \SystemRoot\system32\drivers\portcls.sys
0xADC53000 \SystemRoot\system32\drivers\drmk.sys
0xBA610000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xADD25000 \SystemRoot\System32\Drivers\Null.SYS
0xBA612000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA430000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA438000 \SystemRoot\System32\drivers\vga.sys
0xBA614000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA616000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA440000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA448000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAD3CF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA109C000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA1043000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA101D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA0FF5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xADC33000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAD3B7000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xA0FD3000 \SystemRoot\System32\drivers\afd.sys
0xADC23000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA0FA8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA0F38000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xADC13000 \SystemRoot\System32\Drivers\Fips.SYS
0xB24CE000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xADBE3000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB669B000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBA470000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB24C6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBA478000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB23AA000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xA0E5B000 \SystemRoot\System32\Drivers\dump_iastor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB239A000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA480000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xAE64C000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF065000 \SystemRoot\System32\ati2cqag.dll
0xBF0FE000 \SystemRoot\System32\atikvmag.dll
0xBF182000 \SystemRoot\System32\atiok3x2.dll
0xBF1CD000 \SystemRoot\System32\ati3duag.dll
0xBF572000 \SystemRoot\System32\ativvaxx.dll
0xBF9C5000 \SystemRoot\System32\ATMFD.DLL
0xB2396000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9EB69000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9584000 \SystemRoot\system32\drivers\sysaudio.sys
0x9EB14000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x9E885000 \SystemRoot\system32\DRIVERS\srv.sys
0x9E4AC000 \SystemRoot\System32\Drivers\HTTP.sys
0x9E391000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 24):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
672 C:\WINDOWS\system32\csrss.exe
712 C:\WINDOWS\system32\winlogon.exe
756 C:\WINDOWS\system32\services.exe
768 C:\WINDOWS\system32\lsass.exe
960 C:\WINDOWS\system32\svchost.exe
1028 C:\WINDOWS\system32\svchost.exe
1124 C:\WINDOWS\system32\svchost.exe
1164 C:\WINDOWS\system32\svchost.exe
1236 C:\WINDOWS\system32\svchost.exe
1356 C:\WINDOWS\system32\svchost.exe
1556 C:\WINDOWS\system32\spoolsv.exe
1744 C:\WINDOWS\system32\svchost.exe
1900 C:\WINDOWS\explorer.exe
636 C:\WINDOWS\system32\wuauclt.exe
2132 C:\WINDOWS\system32\alg.exe
3248 C:\WINDOWS\system32\rundll32.exe
3612 C:\Programme\Mozilla Firefox\firefox.exe
3644 C:\Programme\Mozilla Firefox\firefox.exe
3728 C:\WINDOWS\system32\wscntfy.exe
292 C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
356 C:\Dokumente und Einstellungen\Andreas\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`036e8e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000037`1bdd4e00 (NTFS)

PhysicalDrive0 Model Number: ST3320620AS, Rev: 3.ADG

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-17 14:51:01
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 ST332062 rev.3.AD
Running: x7r3upuq.exe; Driver: C:\DOKUME~1\Andreas\LOKALE~1\Temp\kwtdrpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                                                 section is writeable [0xB917F000, 0x1C5D58, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

?               C:\WINDOWS\System32\smss.exe[616]                                                                                                                        time/date stamp mismatch; 
?               C:\WINDOWS\system32\csrss.exe[672]                                                                                                                       time/date stamp mismatch; unknown module: CSRSRV.dll
.text           C:\WINDOWS\system32\csrss.exe[672] ntdll.dll!NtQueryDirectoryFile                                                                                        7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\csrss.exe[672] ntdll.dll!NtResumeThread                                                                                              7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\csrss.exe[672] ntdll.dll!LdrLoadDll                                                                                                  7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\csrss.exe[672] USER32.dll!TranslateMessage                                                                                           7E368BF6 5 Bytes  JMP 2004C805 
?               C:\WINDOWS\system32\winlogon.exe[712]                                                                                                                    time/date stamp mismatch; unknown module: WINMM.dllunknown module: MSGINA.dllunknown module: RASAPI32.dllunknown module: MPR.dllunknown module: AUTHZ.dllunknown module: NDdeApi.dllunknown module: PROFMAP.dllunknown module: SETUPAPI.dllunknown module: VERSION.dllunknown module: WINSTA.dllunknown module: WINTRUST.dll
.text           C:\WINDOWS\system32\winlogon.exe[712] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\winlogon.exe[712] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\winlogon.exe[712] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\winlogon.exe[712] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\winlogon.exe[712] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
?               C:\WINDOWS\system32\services.exe[756]                                                                                                                    time/date stamp mismatch; unknown module: NTDSAPI.dllunknown module: NCObjAPI.DLLunknown module: SCESRV.dllunknown module: umpnpmgr.dll
.text           C:\WINDOWS\system32\services.exe[756] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\services.exe[756] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\services.exe[756] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\services.exe[756] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\services.exe[756] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
.text           C:\WINDOWS\system32\lsass.exe[768] ntdll.dll!NtQueryDirectoryFile                                                                                        7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\lsass.exe[768] ntdll.dll!NtResumeThread                                                                                              7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\lsass.exe[768] ntdll.dll!LdrLoadDll                                                                                                  7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\lsass.exe[768] USER32.dll!TranslateMessage                                                                                           7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!sendto                                                                                                     71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!recvfrom                                                                                                   71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!closesocket                                                                                                71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!send                                                                                                       71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!WSARecv                                                                                                    71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!recv                                                                                                       71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!WSASend                                                                                                    71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!WSARecvFrom                                                                                                71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\lsass.exe[768] WS2_32.dll!WSASendTo                                                                                                  71A20AAD 5 Bytes  JMP 2004D65F 
?               C:\WINDOWS\system32\svchost.exe[960]                                                                                                                     time/date stamp mismatch; 
.text           C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtQueryDirectoryFile                                                                                      7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!NtResumeThread                                                                                            7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\svchost.exe[960] ntdll.dll!LdrLoadDll                                                                                                7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\svchost.exe[960] USER32.dll!TranslateMessage                                                                                         7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!sendto                                                                                                   71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!recvfrom                                                                                                 71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!closesocket                                                                                              71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!send                                                                                                     71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!WSARecv                                                                                                  71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!recv                                                                                                     71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!WSASend                                                                                                  71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!WSARecvFrom                                                                                              71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!WSASendTo                                                                                                71A20AAD 5 Bytes  JMP 2004D65F 
?               C:\WINDOWS\system32\svchost.exe[1028]                                                                                                                    time/date stamp mismatch; 
.text           C:\WINDOWS\system32\svchost.exe[1028] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\svchost.exe[1028] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\svchost.exe[1028] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\svchost.exe[1028] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\svchost.exe[1028] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
?               C:\WINDOWS\System32\svchost.exe[1124]                                                                                                                    time/date stamp mismatch; 
.text           C:\WINDOWS\System32\svchost.exe[1124] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\System32\svchost.exe[1124] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\System32\svchost.exe[1124] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\System32\svchost.exe[1124] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\System32\svchost.exe[1124] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetReadFile                                                                                       408C654B 5 Bytes  JMP 2004E8E3 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetCloseHandle                                                                                    408C9088 5 Bytes  JMP 2004DF3E 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetQueryDataAvailable                                                                             408CBF83 5 Bytes  JMP 2004E5C4 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!HttpOpenRequestA                                                                                       408CD508 5 Bytes  JMP 2004E99E 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!HttpSendRequestW                                                                                       408CFABE 5 Bytes  JMP 2004DEDF 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!HttpOpenRequestW                                                                                       408CFBFB 5 Bytes  JMP 2004E9CB 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!HttpSendRequestA                                                                                       408DEE89 5 Bytes  JMP 2004DEAA 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetOpenUrlA                                                                                       408DF3A4 5 Bytes  JMP 2004E9F8 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetReadFileExW                                                                                    408E3349 5 Bytes  JMP 2004E7C8 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetReadFileExA                                                                                    408E3381 5 Bytes  JMP 2004E721 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetWriteFile                                                                                      4092608E 5 Bytes  JMP 2004DF11 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!InternetOpenUrlW                                                                                       40926D77 5 Bytes  JMP 2004EA1F 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!HttpSendRequestExA                                                                                     4093A666 5 Bytes  JMP 2004DE64 
.text           C:\WINDOWS\System32\svchost.exe[1124] WININET.dll!HttpSendRequestExW                                                                                     4093A6BF 5 Bytes  JMP 2004DE1E 
?               C:\WINDOWS\system32\svchost.exe[1164]                                                                                                                    time/date stamp mismatch; 
.text           C:\WINDOWS\system32\svchost.exe[1164] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\svchost.exe[1164] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\svchost.exe[1164] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\svchost.exe[1164] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
?               C:\WINDOWS\system32\svchost.exe[1236]                                                                                                                    time/date stamp mismatch; 
.text           C:\WINDOWS\system32\svchost.exe[1236] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\svchost.exe[1236] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\svchost.exe[1236] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\svchost.exe[1236] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\svchost.exe[1236] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
?               C:\WINDOWS\system32\svchost.exe[1356]                                                                                                                    time/date stamp mismatch; 
.text           C:\WINDOWS\system32\svchost.exe[1356] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\svchost.exe[1356] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\svchost.exe[1356] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\svchost.exe[1356] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\svchost.exe[1356] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
.text           C:\WINDOWS\system32\spoolsv.exe[1556] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\spoolsv.exe[1556] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\spoolsv.exe[1556] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\spoolsv.exe[1556] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
?               C:\WINDOWS\system32\svchost.exe[1744]                                                                                                                    time/date stamp mismatch; 
.text           C:\WINDOWS\system32\svchost.exe[1744] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\system32\svchost.exe[1744] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\system32\svchost.exe[1744] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\system32\svchost.exe[1744] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetReadFile                                                                                       408C654B 5 Bytes  JMP 2004E8E3 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetCloseHandle                                                                                    408C9088 5 Bytes  JMP 2004DF3E 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetQueryDataAvailable                                                                             408CBF83 5 Bytes  JMP 2004E5C4 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!HttpOpenRequestA                                                                                       408CD508 5 Bytes  JMP 2004E99E 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!HttpSendRequestW                                                                                       408CFABE 5 Bytes  JMP 2004DEDF 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!HttpOpenRequestW                                                                                       408CFBFB 5 Bytes  JMP 2004E9CB 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!HttpSendRequestA                                                                                       408DEE89 5 Bytes  JMP 2004DEAA 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetOpenUrlA                                                                                       408DF3A4 5 Bytes  JMP 2004E9F8 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetReadFileExW                                                                                    408E3349 5 Bytes  JMP 2004E7C8 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetReadFileExA                                                                                    408E3381 5 Bytes  JMP 2004E721 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetWriteFile                                                                                      4092608E 5 Bytes  JMP 2004DF11 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetOpenUrlW                                                                                       40926D77 5 Bytes  JMP 2004EA1F 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!HttpSendRequestExA                                                                                     4093A666 5 Bytes  JMP 2004DE64 
.text           C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!HttpSendRequestExW                                                                                     4093A6BF 5 Bytes  JMP 2004DE1E 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2004D65F 
?               C:\WINDOWS\Explorer.EXE[1900]                                                                                                                            time/date stamp mismatch; unknown module: WINMM.dllunknown module: SETUPAPI.dllunknown module: WINSTA.dllunknown module: OLEACC.dllunknown module: BROWSEUI.dllunknown module: OLEAUT32.dllunknown module: SHDOCVW.dllunknown module: UxTheme.dll
.text           C:\WINDOWS\Explorer.EXE[1900] ntdll.dll!NtQueryDirectoryFile                                                                                             7C91D76E 5 Bytes  JMP 2004FD3C 
.text           C:\WINDOWS\Explorer.EXE[1900] ntdll.dll!NtResumeThread                                                                                                   7C91DB3E 5 Bytes  JMP 20047851 
.text           C:\WINDOWS\Explorer.EXE[1900] ntdll.dll!LdrLoadDll                                                                                                       7C92632D 5 Bytes  JMP 2004FBB8 
.text           C:\WINDOWS\Explorer.EXE[1900] USER32.dll!TranslateMessage                                                                                                7E368BF6 5 Bytes  JMP 2004C805 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetReadFile                                                                                               408C654B 5 Bytes  JMP 2004E8E3 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetCloseHandle                                                                                            408C9088 5 Bytes  JMP 2004DF3E 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetQueryDataAvailable                                                                                     408CBF83 5 Bytes  JMP 2004E5C4 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!HttpOpenRequestA                                                                                               408CD508 5 Bytes  JMP 2004E99E 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!HttpSendRequestW                                                                                               408CFABE 5 Bytes  JMP 2004DEDF 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!HttpOpenRequestW                                                                                               408CFBFB 5 Bytes  JMP 2004E9CB 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!HttpSendRequestA                                                                                               408DEE89 5 Bytes  JMP 2004DEAA 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetOpenUrlA                                                                                               408DF3A4 5 Bytes  JMP 2004E9F8 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetReadFileExW                                                                                            408E3349 5 Bytes  JMP 2004E7C8 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetReadFileExA                                                                                            408E3381 5 Bytes  JMP 2004E721 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetWriteFile                                                                                              4092608E 5 Bytes  JMP 2004DF11 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!InternetOpenUrlW                                                                                               40926D77 5 Bytes  JMP 2004EA1F 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!HttpSendRequestExA                                                                                             4093A666 5 Bytes  JMP 2004DE64 
.text           C:\WINDOWS\Explorer.EXE[1900] WININET.dll!HttpSendRequestExW                                                                                             4093A6BF 5 Bytes  JMP 2004DE1E 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!sendto                                                                                                          71A12F51 5 Bytes  JMP 2004D268 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!recvfrom                                                                                                        71A12FF7 5 Bytes  JMP 2004D583 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!closesocket                                                                                                     71A13E2B 5 Bytes  JMP 2004D872 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!send                                                                                                            71A14C27 5 Bytes  JMP 2004D21A 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!WSARecv                                                                                                         71A14CB5 5 Bytes  JMP 2004D6D6 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!recv                                                                                                            71A1676F 5 Bytes  JMP 2004D51E 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!WSASend                                                                                                         71A168FA 5 Bytes  JMP 2004D5EE 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!WSARecvFrom                                                                                                     71A1F66A 5 Bytes  JMP 2004D7A1 
.text           C:\WINDOWS\Explorer.EXE[1900] ws2_32.dll!WSASendTo                                                                                                       71A20AAD 5 Bytes  JMP 2004D65F 
.text           C:\WINDOWS\System32\alg.exe[2132] ntdll.dll!NtQueryDirectoryFile                                                                                         7C91D76E 5 Bytes  JMP 2001FD3C 
.text           C:\WINDOWS\System32\alg.exe[2132] ntdll.dll!NtResumeThread                                                                                               7C91DB3E 5 Bytes  JMP 20017851 
.text           C:\WINDOWS\System32\alg.exe[2132] ntdll.dll!LdrLoadDll                                                                                                   7C92632D 5 Bytes  JMP 2001FBB8 
.text           C:\WINDOWS\System32\alg.exe[2132] USER32.dll!TranslateMessage                                                                                            7E368BF6 5 Bytes  JMP 2001C805 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!sendto                                                                                                      71A12F51 5 Bytes  JMP 2001D268 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!recvfrom                                                                                                    71A12FF7 5 Bytes  JMP 2001D583 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!closesocket                                                                                                 71A13E2B 5 Bytes  JMP 2001D872 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!send                                                                                                        71A14C27 5 Bytes  JMP 2001D21A 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!WSARecv                                                                                                     71A14CB5 5 Bytes  JMP 2001D6D6 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!recv                                                                                                        71A1676F 5 Bytes  JMP 2001D51E 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!WSASend                                                                                                     71A168FA 5 Bytes  JMP 2001D5EE 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!WSARecvFrom                                                                                                 71A1F66A 5 Bytes  JMP 2001D7A1 
.text           C:\WINDOWS\System32\alg.exe[2132] WS2_32.dll!WSASendTo                                                                                                   71A20AAD 5 Bytes  JMP 2001D65F 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] ntdll.dll!NtQueryDirectoryFile                                                                                     7C91D76E 5 Bytes  JMP 2001FD3C 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] ntdll.dll!NtResumeThread                                                                                           7C91DB3E 5 Bytes  JMP 20017851 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] ntdll.dll!LdrLoadDll                                                                                               7C92632D 5 Bytes  JMP 2001FBB8 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] USER32.dll!TranslateMessage                                                                                        7E368BF6 5 Bytes  JMP 2001C805 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!sendto                                                                                                  71A12F51 5 Bytes  JMP 2001D268 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!recvfrom                                                                                                71A12FF7 5 Bytes  JMP 2001D583 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!closesocket                                                                                             71A13E2B 5 Bytes  JMP 2001D872 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!send                                                                                                    71A14C27 5 Bytes  JMP 2001D21A 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!WSARecv                                                                                                 71A14CB5 5 Bytes  JMP 2001D6D6 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!recv                                                                                                    71A1676F 5 Bytes  JMP 2001D51E 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!WSASend                                                                                                 71A168FA 5 Bytes  JMP 2001D5EE 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!WSARecvFrom                                                                                             71A1F66A 5 Bytes  JMP 2001D7A1 
.text           C:\WINDOWS\system32\taskmgr.exe[2200] WS2_32.dll!WSASendTo                                                                                               71A20AAD 5 Bytes  JMP 2001D65F 
.text           C:\Dokumente und Einstellungen\Andreas\Desktop\x7r3upuq.exe[3500] ntdll.dll!NtQueryDirectoryFile                                                         7C91D76E 5 Bytes  JMP 2001FD3C 
.text           C:\Dokumente und Einstellungen\Andreas\Desktop\x7r3upuq.exe[3500] ntdll.dll!NtResumeThread                                                               7C91DB3E 5 Bytes  JMP 20017851 
.text           C:\Dokumente und Einstellungen\Andreas\Desktop\x7r3upuq.exe[3500] ntdll.dll!LdrLoadDll                                                                   7C92632D 5 Bytes  JMP 2001FBB8 
.text           C:\Dokumente und Einstellungen\Andreas\Desktop\x7r3upuq.exe[3500] user32.dll!TranslateMessage                                                            7E368BF6 5 Bytes  JMP 2001C805 

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Fastfat \Fat                                                                                                                                 9E1EDD20
Device          \FileSystem\Fastfat \Fat                                                                                                                                 9E205631

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Programme\Technobox\Tenado Metall 2009\Beispiele\Textur\Arcitex\xae Ahorn Nr3 WMAP033.tiff  1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Programme\Technobox\Tenado METALL 2010\Beispiele\Textur\Arcitex\xae Ahorn Nr3 WMAP033.tiff  1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Programme\Technobox\Tenado METALL 2011\Beispiele\Textur\Arcitex\xae Ahorn Nr3 WMAP033.tiff  1

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\wggbiygf.exe                                                                        171417 bytes executable
File            C:\Programme\oaooxywo\wggbiygf.exe                                                                                                                       171417 bytes executable
File            C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\wggbiygf.exe                                                                      171417 bytes executable
File            C:\_OTL\MovedFiles\03172011_122817\c_programme\oaooxywo\wggbiygf.exe                                                                                     97130 bytes executable

---- EOF - GMER 1.0.15 ----
         
--- --- ---




Das war das letzte OTL-Log nach dem Ausführen des Fix, das habe ich wie gesagt schon zweimal gemacht.
Avira war da noch installiert, habe ich jetzt runtergeworfen. Das war schon noch intakt, nur der Trojaner stoppt sofort den Dienst nach dem Starten.
Ich kann nachdem GMER fertig ist nochmal ein neues OTL-Scan machen, wie gesagt, der läuft schon so ewig, sollte aber bald fertig sein.

Zitat:
All processes killed
========== OTL ==========
Prefs.js: "SweetIM Search" removed from browser.search.defaultenginename
Prefs.js: "hxxp://search.sweetim.com/search.asp?src=2&q=" removed from browser.search.defaulturl
Prefs.js: "SweetIM Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://search.sweetim.com/search.asp?src=2&q=" removed from keyword.URL
C:\WINDOWS\Bhabebazo.dat moved successfully.
C:\WINDOWS\Rtanirumecahale.bin moved successfully.
========== FILES ==========
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP\CCGEN_4d78cc03 scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\LOGFILES scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\JOBS scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\FAILSAFE scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\EVENTDB scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\CONFIG scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop scheduled to be moved on reboot.
c:\windows\system32\config\systemprofile\Eigene Dateien\Eigene Musik folder moved successfully.
c:\windows\system32\config\systemprofile\Eigene Dateien\Eigene Bilder folder moved successfully.
c:\windows\system32\config\systemprofile\Eigene Dateien folder moved successfully.
c:\dokumente und einstellungen\Default User\Anwendungsdaten\Pnpdep folder moved successfully.
c:\programme\oaooxywo folder moved successfully.
File\Folder c:\windows\Explorermgr.exe not found.
File\Folder c:\windows\system32\config\systemprofile\startmenü\programme\autostart\wggbiygf.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: Andreas
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 398126 bytes
->FireFox cache emptied: 55271588 bytes
->Flash cache emptied: 50580 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 622726 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1764 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 11 bytes
->Flash cache emptied: 3294 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2167231 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 56,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03172011_122817

Files\Folders moved on Reboot...
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP\CCGEN_4d78cc03 scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP\CCGEN_4d78cc03 scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\LOGFILES scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\JOBS scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\FAILSAFE scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\EVENTDB scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\CONFIG scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP\CCGEN_4d78cc03 scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\TEMP scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\LOGFILES scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\JOBS scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\FAILSAFE scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\EVENTDB scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop\CONFIG scheduled to be moved on reboot.
Folder move failed. c:\programme\Avira\AntiVir Desktop scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Geändert von Ancientbeing (17.03.2011 um 15:02 Uhr)

Alt 17.03.2011, 15:08   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\wggbiygf.exe
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\wggbiygf.exe

Folders to delete:
C:\Programme\oaooxywo
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.03.2011, 17:46   #10
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Mittlerweile dachte ich ja, ich wäre ihn los. Ich hatte scheinbar mal einen Safeboot (z.B. war der UserInit Eintrag in der Registry nach dem Boot noch weg, MWB hatte mal keine Funde). Zack zack, ein Reboot später alles wieder da. Die EXEs weglöschen bringt einfach nix, die "Quelle" muss woanders sitzen. Ich hatte auch zwischenzeitlich mal ein "OTLmgr.exe" bekommen, der schreckt ja vor nix zurück.


Avenger-Log

Avenger-Datei
hxxp://www.file-upload.net/download-3292436/avenger.zip.html

Zitat:
ogfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und
Einstellungen\Andreas\Startmenü\Programme\Autostart\wggbiygf.exe" deleted successfully.

Error: file
"C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\wggb
iygf.exe" not found!
Deletion of file
"C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\wggb
iygf.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Programme\oaooxywo" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Geändert von Ancientbeing (17.03.2011 um 17:54 Uhr)

Alt 17.03.2011, 20:02   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Bitte führe mal dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.03.2011, 20:26   #12
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



nix gefunden :-(

Alt 17.03.2011, 21:13   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Wo ist eigentlich das Logfile von OSAM??
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.03.2011, 23:33   #14
Ancientbeing
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



Sorry, das hatte ich verpeilt, war eine RAR-Datei und ich konnte sie nicht gleich öffnen. Jetzt nachgeholt, ich hab zwischenzeitlich noch ein paar Programme deinstalliert. Anbei mal das OSAM-Log:

Die wggbiygf.exe sind bekanntermasse Teil des Trojaner, das löschen bringt allerdings nichts, taucht immer wieder auf. Auch die Einträge in der Reg mit UserInit löschen bringt nichts, auch hab ich festgestellt, dass er in der Reg einen zusätlichen StartUp-Folder anlegt um sich zu starten, auch den zu löschen bringt nix (durch welches Tool auch immer). Irgendwo sitzt noch eine Komponente die auch niemand erkannt hat bisher.

Zitat:
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:29:47 on 17.03.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.15

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Premium " - ? - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl  (File not found)
"AXIS Media Control" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll
"AXIS Media Control Embedded" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll
"QuickTime" - ? - C:\Programme\QuickTime\QTSystem\QuickTime.cpl  (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Auerswald USB CAPI transport Treiber" (tausb) - "Auerswald GmbH & Co. KG                         " - C:\WINDOWS\System32\Drivers\tausb.sys
"Auerswald USB Treiber" (auusb) - "Auerswald GmbH & Co. KG                         " - C:\WINDOWS\System32\Drivers\auusb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys  (File not found)
"cercsr6" (cercsr6) - "Adaptec, Inc." - C:\WINDOWS\system32\drivers\cercsr6.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"pavboot" (pavboot) - "Panda Security, S.L." - C:\WINDOWS\System32\drivers\pavboot.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{738D66C6-0149-4D40-84E4-A7BB2D0CE949} "Sony Ericsson Datei-Manager" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{DE625294-70E6-45ED-B895-CFFA13AEB044} "AxisMediaControlEmb Class" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll / hxxp://217.91.155.3:2250/activex/AMC.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"wggbiygf.exe" - ? - C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\wggbiygf.exe
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Userinit" - ? - C:\Programme\oaooxywo\wggbiygf.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Alt 18.03.2011, 11:59   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rechner verseucht, werde den Trojaner nicht los. - Standard

Rechner verseucht, werde den Trojaner nicht los.



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Rechner verseucht, werde den Trojaner nicht los.
0x00000001, adblock, antivir, antivir guard, avgntflt.sys, avira, bho, desktop, error, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kein taskmanager, kis, lexware, location, logfile, mozilla, nodrives, object, oldtimer, otl.exe, rechner verseucht, registry, searchplugins, security, sekunden, software, sweetim, system, taskmanager, trojaner, windows, windows xp



Ähnliche Themen: Rechner verseucht, werde den Trojaner nicht los.


  1. Ist mei Rechner verseucht?
    Plagegeister aller Art und deren Bekämpfung - 30.10.2015 (13)
  2. Rechner scheint verseucht!
    Plagegeister aller Art und deren Bekämpfung - 11.06.2014 (13)
  3. Ich werde das Gefühl nicht los dass mit meinem Rechner etwas nicht stimmt .. (einfrieren, langsam,..)
    Log-Analyse und Auswertung - 04.05.2014 (1)
  4. Rechner verseucht?
    Log-Analyse und Auswertung - 21.04.2011 (9)
  5. Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 08.02.2011 (13)
  6. backdoor trojaner werde sie nicht los und formatieren geht auch nicht
    Alles rund um Windows - 07.01.2011 (15)
  7. Rechner verseucht ? macht was er will
    Antiviren-, Firewall- und andere Schutzprogramme - 06.09.2010 (6)
  8. Trojaner? Mein Rechner und meine Joomla-Seiten sind verseucht
    Log-Analyse und Auswertung - 18.07.2010 (1)
  9. Rechner war mit dem Trojaner Antivirus Soft verseucht. Ist er jetzt wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2010 (11)
  10. Rechner noch verseucht?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2010 (46)
  11. Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner!
    Plagegeister aller Art und deren Bekämpfung - 24.06.2009 (31)
  12. Hilfe mein Rechner ist verseucht!!!
    Mülltonne - 31.10.2008 (0)
  13. Rechner verseucht???
    Log-Analyse und Auswertung - 16.08.2007 (18)
  14. Ist mein Rechner verseucht?
    Log-Analyse und Auswertung - 18.03.2007 (6)
  15. Rechner ist vollkommen verseucht
    Log-Analyse und Auswertung - 09.04.2006 (3)
  16. Hilfe - Rechner verseucht
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (3)
  17. H I L F E ! Rechner Verseucht, Neu Aufsetzen Klappt Nicht!
    Alles rund um Windows - 07.03.2005 (1)

Zum Thema Rechner verseucht, werde den Trojaner nicht los. - Hallo, ich habe mal wieder den (Windows XP) PC eines Bekannten auf dem OP-Tisch. Das Symptom war: Nach Hochfahren erscheint kurz der Desktop, dann verschwindet der Desktop wieder nach 2-3 - Rechner verseucht, werde den Trojaner nicht los....
Archiv
Du betrachtest: Rechner verseucht, werde den Trojaner nicht los. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.