Trojaner-Board - TR/Vundo GEN, keine Vorschlag funktioniert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Vundo GEN, keine Vorschlag funktioniert (https://www.trojaner-board.de/52732-tr-vundo-gen-keine-vorschlag-funktioniert.html)

UncleDoc

20.05.2008 20:44

TR/Vundo GEN, keine Vorschlag funktioniert

Hallo,

mein Anti- Vir meldet seit ca. 2 Tagen den angesprochenen Virus/ Malware.

Hier mein HiJackThis Log-File, bin dankbar wenn mir jemand helfen könnte !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:22, on 20.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\WEMBG.EXE
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0} - C:\WINDOWS\system32\mllmj.dll (file missing)
O2 - BHO: (no name) - {5CC3AD29-DFF1-452B-AA12-ACB130483C97} - C:\WINDOWS\system32\shemlstyle.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: {732a890f-af8b-cf2a-90f4-a83d62de94b7} - {7b49ed26-d38a-4f09-a2fc-b8faf098a237} - C:\WINDOWS\system32\ofuclypn.dll
O2 - BHO: (no name) - {A547D2C2-7722-4953-B8A7-5548E75A8901} - C:\WINDOWS\system32\sstts.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [WEMBG] C:\WINDOWS\WEMBG.EXE
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [d000ae14] rundll32.exe "C:\WINDOWS\system32\jvkfrouk.dll",b
O4 - HKLM\..\Run: [BMd3339d88] Rundll32.exe "C:\WINDOWS\system32\mhrenfnx.dll",s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [HuaWeiEVDO.exe] "C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF83FAE7-C88A-4705-9A73-62BF5B95A302}: NameServer = 195.182.110.132 62.134.11.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 11424 bytes

undoreal

20.05.2008 22:09

Nabend.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\WEMBG.EXE

UncleDoc

21.05.2008 13:55

Ich denke das ich das jetz richtig gemacht habe...
Was mich wundert, ist das bei Ergebnis 0 % steht, hab ich da einen Schritt vergessen?

Wenn ja dann hab ich nicht richtig verstanden was ich noch machen sollte.
Aber siehe Auswertung, DANKE !

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.21 -
AntiVir 7.8.0.19 2008.05.21 -
Authentium 5.1.0.4 2008.05.21 -
Avast 4.8.1195.0 2008.05.21 -
AVG 7.5.0.516 2008.05.21 -
BitDefender 7.2 2008.05.21 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.21 -
DrWeb 4.44.0.09170 2008.05.21 -
eSafe 7.0.15.0 2008.05.20 -
eTrust-Vet 31.4.5808 2008.05.21 -
Ewido 4.0 2008.05.21 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.21 -
Fortinet 3.14.0.0 2008.05.21 -
GData 2.0.7306.1023 2008.05.21 -
Ikarus T3.1.1.26.0 2008.05.21 -
Kaspersky 7.0.0.125 2008.05.21 -
McAfee 5299 2008.05.20 -
Microsoft 1.3520 2008.05.21 -
NOD32v2 3116 2008.05.21 -
Norman 5.80.02 2008.05.20 -
Panda 9.0.0.4 2008.05.21 -
Prevx1 V2 2008.05.21 -
Rising 20.45.12.00 2008.05.21 -
Sophos 4.29.0 2008.05.21 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.21 -
TheHacker 6.2.92.314 2008.05.20 -
VBA32 3.12.6.6 2008.05.20 -
VirusBuster 4.3.26:9 2008.05.20 -
Webwasher-Gateway 6.6.2 2008.05.21 -
weitere Informationen
File size: 118784 bytes
MD5...: e066380e30ab845452e865d9098b5f80
SHA1..: 1ce007a8b3441c6dbf90f74d976f14eeff8601b9
SHA256: 6e928c9aed56945ca9a607db652de91390f84ea9325c96b49a7b63575bef0a0b
SHA512: e3cc2823c60352ae27a88188d40a346f82a417b764b0063d94cdef66a03f3679
63111d25cd244a3b0a44600baf7cf7bb988c772c4c365a90e7a307551816e071
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402f9d
timedatestamp.....: 0x41b541f6 (Tue Dec 07 05:39:02 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1162e 0x12000 6.47 731b970ed73fbe04a9b5be2225054dd5
.rdata 0x13000 0x40be 0x5000 4.16 1d232201fb49a757008b25eb774d1854
.data 0x18000 0x6ddc 0x4000 1.70 f012ecab83e1c682a96641ed106687a5
.rsrc 0x1f000 0x3f0 0x1000 1.08 d61287d53c16786313e3c06ad3fca457

( 8 imports )
> CFGMGR32.dll: CM_Open_DevNode_Key
> KERNEL32.dll: RtlUnwind, HeapFree, HeapAlloc, GetStartupInfoA, GetCommandLineA, ExitProcess, RaiseException, TerminateProcess, HeapSize, HeapReAlloc, GetACP, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CloseHandle, CreateProcessA, GetModuleFileNameA, GetLastError, CreateMutexA, DeleteCriticalSection, InitializeCriticalSection, FreeLibrary, GetProcAddress, LoadLibraryA, GetVersionExA, FlushFileBuffers, SetFilePointer, WriteFile, GetCurrentProcess, SetErrorMode, WritePrivateProfileStringA, GetOEMCP, GetCPInfo, GetProcessVersion, GlobalFlags, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalReAlloc, TlsFree, GlobalHandle, GlobalUnlock, LeaveCriticalSection, GlobalFree, TlsAlloc, LocalAlloc, SetLastError, LocalFree, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, GlobalLock, GlobalAlloc, lstrcmpA, GetCurrentThread, GetVersion, lstrcatA, GetCurrentThreadId, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcpyA, GetModuleHandleA, CreateFileA, DeviceIoControl, ExpandEnvironmentStringsA, lstrcpynA, UnhandledExceptionFilter, EnterCriticalSection
> USER32.dll: SetCursor, IsWindowEnabled, GetCursorPos, ValidateRect, GetActiveWindow, TranslateMessage, GetMessageA, GetNextDlgTabItem, EnableMenuItem, CheckMenuItem, SetMenuItemBitmaps, ModifyMenuA, GetMenuState, LoadBitmapA, GetMenuCheckMarkDimensions, SetWindowTextA, ShowWindow, GetClassNameA, PtInRect, ClientToScreen, LoadCursorA, GetSysColorBrush, ReleaseDC, GetDC, DestroyMenu, TabbedTextOutA, DrawTextA, GrayStringA, LoadStringA, LoadIconA, MapWindowPoints, GetSysColor, PeekMessageA, DispatchMessageA, GetFocus, SetFocus, AdjustWindowRectEx, GetClientRect, CopyRect, IsWindowVisible, GetTopWindow, MessageBoxA, GetParent, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextA, GetDlgCtrlID, DestroyWindow, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, DefWindowProcA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, SetForegroundWindow, SendMessageA, GetWindow, GetWindowLongA, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetSystemMetrics, EnableWindow, BroadcastSystemMessageA, KillTimer, UnregisterDeviceNotification, PostQuitMessage, RegisterDeviceNotificationA, SetTimer, FindWindowA, PostMessageA, GetKeyState, UnregisterClassA
> GDI32.dll: SaveDC, RestoreDC, SelectObject, GetStockObject, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, DeleteDC, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetDeviceCaps, DeleteObject, CreateBitmap, GetObjectA, SetBkColor, SetTextColor, GetClipBox
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegCloseKey, RegQueryValueExA, RegDeleteValueA, RegCreateKeyA
> COMCTL32.dll: -
> SETUPAPI.dll: SetupDiGetClassDevsA, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiDestroyDeviceInfoList

( 0 exports )

undoreal

21.05.2008 14:05

*Grummel* die Datei verarscht uns. Die ist nämlich definitiv nicht sauber.

Send die Datei bitte an Kaspersky. Wie das gemacht wird steht hier beschrieben: Wie sendet man eine Datei zur Untersuchung - Kaspersky Lab Forum

Nachdem du das gemacht hast machen wir einfach schonmal weiter. Da dein System höchstgradig geschädigt ist kommt da ein bischen Arbeit auf dich zu. Die sicherste und wahrscheinlich schnellste Variante wäre es das System neuaufzusetzten. Die Entscheidung liegt aber bei dir .. ;)

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Überprüfe dein System mit SASW.

8) Mache einen letzten Maleware-Check mit Malewarebytes.

9) Checke dein System mit dem ESET Online Scanner. (Klicke nach dem Scan auf "Print this Page" oben rechts in der Ecke und kopiere das nachfolgende Fenster in deinen Post.)

10) Räume mit cCleaner auf. (Punkt 1 und 2)

11) Führe einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

12) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

UncleDoc

21.05.2008 17:09

Welche Datei soll ich an Kaspersky schicken, diesen Dateipfad den du mir als erstes angezeigt hast??

Zitat:
C:\WINDOWS\WEMBG.EXE

die Datei??

Und noch was, ab noch nicht angefangen mit angezeigten Aufgaben für mich aber ich kann Link nicht öffnen. D. h er verbindet dann nicht.
Ich benutze Firefox und IE läuft glei gar nicht !
Gibts dafür ne Lösung?

irrlicht

21.05.2008 17:34

Hallo,
jawohl diese Datei sollst du schicken !!
Halte dich genau an die Anweisung ,sonst klappt das nicht ....
Wenn du eine richtig neue Seuche gefunden hast ,wird dir Kaspersky das Recht einräumen diese nach einem Namen deiner Wahl zu taufen.
Allerdings hängt das von mehreren Faktoren ab.....
Bemühe dich also die Datei dorthin zu transportieren...:)

Zitat:

Und noch was, ab noch nicht angefangen mit angezeigten Aufgaben für mich aber ich kann Link nicht öffnen. D. h er verbindet dann nicht.
Ich benutze Firefox und IE läuft glei gar nicht !

Bedenklich,sehr bedenklich...
Ein Pferd, daß an der ersten Hürde schon scheitert ,würde man wohl erschießen....
Einem Läufer, der noch vor dem Start hinfällt ,den Sporthilfescheck entziehen...

Ein PC müßte demnach den "elektronischen Tod" sterben....:daumenhoc

Zitat:

Gibts dafür ne Lösung?

Na klar...
Hier : http://www.trojaner-board.de/51262-a...sicherung.html

Irrlicht

UncleDoc

21.05.2008 18:51

1. An Kaspersky hab ich gesendet
2. Java deinstall
3. Blacklight- Log:

05/21/08 19:40:39 [Info]: BlackLight Engine 1.0.70 initialized
05/21/08 19:40:39 [Info]: OS: 5.1 build 2600 (Service Pack 3)
05/21/08 19:40:39 [Note]: 7019 4
05/21/08 19:40:39 [Note]: 7005 0
05/21/08 19:40:40 [Note]: 7006 0
05/21/08 19:40:40 [Note]: 7011 716
05/21/08 19:40:40 [Note]: 7035 0
05/21/08 19:40:40 [Note]: 7026 0
05/21/08 19:40:40 [Note]: 7026 0
05/21/08 19:40:42 [Note]: FSRAW library version 1.7.1024
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:45 [Note]: 7007 0

UncleDoc

21.05.2008 19:27

4. Silentrunners- Log:

"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Vidalia" = ""C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"" ["vidalia-project.net"]
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"HuaWeiEVDO.exe" = ""C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe"" ["Huawei Technologies Co., Ltd."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WEMBG" = "C:\WINDOWS\WEMBG.EXE" ["Cypress Semiconductor"]
"WebCam Go Plus Sti Service Application" = "Wcgopsvc" ["Creative Technology Ltd"]
"SweetIM" = "C:\Programme\Macrogaming\SweetIM\SweetIM.exe" ["MacroGaming LTD."]
"SW24" = "C:\WINDOWS\System32\sw24.exe" [null data]
"SW20" = "C:\WINDOWS\System32\sw20.exe" [empty string]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"Launch LGDCore" = ""C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"Launch LCDMon" = ""C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"" ["Logitech Inc."]
"Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NWEReboot" = "(empty string)" [file not found]
"d000ae14" = "rundll32.exe "C:\WINDOWS\system32\jvkfrouk.dll",b" [MS]
"BMd3339d88" = "Rundll32.exe "C:\WINDOWS\system32\mhrenfnx.dll",s" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\mllmj.dll" [file not found]
{5CC3AD29-DFF1-452B-AA12-ACB130483C97}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\shemlstyle.dll" [null data]
{5D945E9A-DC10-4670-83EB-99DAA616628A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Suchspur"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Suchspur.dll" [empty string]
{7b49ed26-d38a-4f09-a2fc-b8faf098a237}\(Default) = "{732a890f-af8b-cf2a-90f4-a83d62de94b7}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ofuclypn.dll" [null data]
{A547D2C2-7722-4953-B8A7-5548E75A8901}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\sstts.dll" [file not found]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEToolbarHelper Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Filzip\fzshext.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\sstts"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
Filzip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Filzip\fzshext.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Filzip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Filzip\fzshext.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"disableregistrytools" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKCU\Software\Policies\Microsoft\Windows\System\

"DisableCMD" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Disable the command prompt}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Desktop\Downloads\wp2_1280x1024.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Uncle Doc\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]

iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]

iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]

iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
-> {HKLM...CLSID} = "RealNetworks Scheduler"
\LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

Startup items in "Uncle Doc" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
"Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe -startup" ["Logitech Inc."]
"Privoxy" -> shortcut to: "C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe" ["The Privoxy team - www.privoxy.org"]
"SetPointII" -> shortcut to: "C:\Programme\Logitech\SetPoint II\SetpointII.exe" ["Logitech Inc."]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Inc."]
"FRU Task #Hewlett-Packard#hp psc 1100 series#1208455429" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1208455429"" [empty string]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}" = "Winamp Toolbar"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
StyleXPService, StyleXPService, ""C:\Programme\TGTSoft\StyleXP\StyleXPService.exe"" [empty string]
T-Online WLAN Adapter Steuerungsdienst, MZCCntrl, "C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe" ["T-Online International AG, Marmiko IT-Solutions GmbH"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\System32\AdobePDF.dll" ["Adobe Systems Incorporated."]
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
LIDIL Language Monitor\Driver = "hpzll3xu.dll" ["Hewlett-Packard Company"]
Microsoft Office Document Image Writer Monitor\Driver = "mdimon.dll" [MS]

---------- (launch time: 2008-05-21 19:33:35)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 44 seconds, including 4 seconds for message boxes)

Punkt 5 hab ich gerade gemacht...weiter Log´s folgen

Chris

UncleDoc

21.05.2008 20:34

5. Anleitung durchgeführt
6. Combofix- Log: Teil 1

ComboFix 08-05-20.5 - Uncle Doc 2008-05-21 20:58:01.2 - NTFSx86
ausgeführt von:: H:\Treiber\Security\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Data\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Example Files\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Settings\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Startup\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\EA Games\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\EA Games\Die Sims 2\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\My Playlists\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sample Playlists\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sample Playlists\002C47FF\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sync Playlists\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sync Playlists\002C481E\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\Profile000\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\Profile000\SinglePlayer\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\Profile000\SinglePlayer\Slot01\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\ServerOptions\_desktop.ini
C:\WINDOWS\BMd3339d88.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gqoxkmnq.ini
C:\WINDOWS\system32\jmllm.ini
C:\WINDOWS\system32\jmllm.ini2
C:\WINDOWS\system32\kuorfkvj.ini
C:\WINDOWS\system32\llkkj.ini2
C:\WINDOWS\system32\mhrenfnx.dll
C:\WINDOWS\system32\ofuclypn.dll
C:\WINDOWS\system32\sickqnkg.ini
.
---- Previous Run -------
.
C:\WINDOWS\autorun.inf
C:\WINDOWS\cookies.ini
C:\WINDOWS\hosts
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-21 bis 2008-05-21 ))))))))))))))))))))))))))))))
.

2008-05-21 19:55 . 2008-05-21 19:55 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-21 19:55 . 2008-05-21 19:55 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-21 19:54 . 2008-05-21 19:54 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-21 19:54 . 2008-05-21 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-21 19:54 . 2008-05-21 21:14 381,728 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-21 19:54 . 2008-05-21 21:12 10,272 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-21 19:54 . 2008-05-21 21:11 7,016 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-21 19:54 . 2008-05-21 21:11 1,940 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-21 19:53 . 2008-05-21 20:20 3,830 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-21 19:46 . 2008-05-21 19:46 <DIR> d-------- C:\kav
2008-05-20 20:47 . 2008-05-20 20:57 <DIR> d-------- C:\VundoFix Backups
2008-05-20 20:15 . 2008-05-20 20:15 <DIR> d-------- C:\Programme\Trend Micro
2008-05-19 13:29 . 2008-05-21 19:54 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-19 13:20 . 2008-05-19 13:20 92 --a------ C:\WINDOWS\wininit.ini
2008-05-19 12:59 . 2008-05-19 12:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-18 18:36 . 2008-05-18 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Command & Conquer 3 Kanes Rache
2008-05-18 18:34 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-05-18 18:34 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-05-18 18:34 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-05-18 18:33 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-05-18 18:04 . 2008-05-18 18:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-12 11:50 . 2008-05-13 15:37 <DIR> d-------- C:\WINDOWS\system32\seidel_0508 dir
2008-05-05 16:39 . 2008-05-05 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-30 18:26 . 2008-04-30 18:30 <DIR> d-------- C:\Programme\Your Uninstaller 2008
2008-04-30 18:26 . 2008-04-30 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\URSoft
2008-04-30 18:21 . 2008-04-30 18:21 <DIR> d-------- C:\Programme\WINcon 5.0
2008-04-30 15:09 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-04-30 15:07 . 2008-04-30 15:14 2,675 --a------ C:\WINDOWS\imsins.BAK
2008-04-29 19:53 . 2008-05-05 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\skypePM
2008-04-29 19:53 . 2008-04-29 19:53 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-04-29 19:52 . 2008-05-05 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Programme\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-26 12:07 . 2008-04-26 12:07 127,034 -r------- C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2008-04-26 12:07 . 2008-04-26 12:07 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-04-26 12:06 . 2008-04-26 12:06 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-26 12:05 . 2008-04-26 12:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logishrd
2008-04-26 12:04 . 2008-04-26 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-21 19:13 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Vidalia
2008-05-21 19:13 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\tor
2008-05-21 18:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-21 16:17 --------- d-----w C:\Programme\Java
2008-05-19 16:57 --------- d-----w C:\Programme\Winamp
2008-05-19 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-19 10:48 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-18 16:14 --------- d-----w C:\Programme\Electronic Arts
2008-05-14 09:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-05-13 13:44 --------- d-----w C:\Programme\Nero
2008-05-09 21:32 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\ICQ
2008-05-09 09:41 --------- d-----w C:\Programme\MSN Messenger
2008-05-07 09:53 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\AdobeUM
2008-05-05 14:39 --------- d-----w C:\Programme\Logitech
2008-05-01 13:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-01 13:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-04-30 16:38 --------- d-----w C:\Programme\eMule
2008-04-30 16:34 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2008-04-30 13:15 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd9597.sys
2008-04-28 17:50 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Metacafe
2008-04-28 17:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Metacafe
2008-04-20 19:58 --------- d-----w C:\Programme\Ashampoo
2008-04-19 15:09 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Nero
2008-04-19 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-04-19 15:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-19 10:39 --------- d-----w C:\Programme\ICQ6
2008-04-17 18:00 82,380 ----a-w C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-04-17 18:00 --------- d-----w C:\Programme\Hewlett-Packard
2008-04-17 09:35 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\vlc
2008-04-14 18:30 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-14 17:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-04-14 17:29 --------- d-----w C:\Programme\SlySoft
2008-04-14 15:30 --------- d-----w C:\Programme\Elaborate Bytes
2008-04-14 15:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-04-14 15:14 --------- d-----w C:\Programme\DVD Shrink DE
2008-04-14 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-04-14 14:59 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\dvdcss
2008-04-14 05:53 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:53 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 05:53 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 05:32 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 05:32 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 05:32 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 05:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 05:32 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 05:28 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 05:28 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 05:28 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 05:28 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 05:28 14,720 ----a-w C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-14 05:27 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 05:26 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 05:25 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 05:25 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 05:24 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 05:22 57,728 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 05:22 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 05:22 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 05:22 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 05:21 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 05:20 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 05:20 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 05:19 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 05:19 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 05:19 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 22:58 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 22:51 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 22:50 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 22:50 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 22:50 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 22:49 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 22:49 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 22:49 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 22:49 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 22:49 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 22:47 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 22:47 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 22:47 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 22:46 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 22:46 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 22:45 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 22:45 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 22:45 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 22:44 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 22:44 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 22:30 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 22:30 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 22:27 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 22:27 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 22:27 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 22:27 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 22:27 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 22:27 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 22:27 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 22:26 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 22:26 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2006-08-15 17:10 80 --sh--r C:\WINDOWS\system32\67F8008A2B.dll
2001-08-18 19:00 253,952 -csha-w C:\WINDOWS\system32\msvcrt20.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}]
C:\WINDOWS\system32\mllmj.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A547D2C2-7722-4953-B8A7-5548E75A8901}]
C:\WINDOWS\system32\sstts.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 23:49 12889088]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2006-10-31 15:06 204843]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"HuaWeiEVDO.exe"="C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe" [2007-04-12 10:54 942080]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WEMBG"="C:\WINDOWS\WEMBG.EXE" [2004-12-07 11:09 118784]
"WebCam Go Plus Sti Service Application"="Wcgopsvc" []
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 11:07 40960]
"SW24"="C:\WINDOWS\System32\sw24.exe" [2005-07-04 07:29 69632]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2005-06-30 08:03 200704]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 12:01 77824 C:\WINDOWS\SOUNDMAN.EXE]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 02:08 2094352]
"Launch LCDMon"="C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-18 01:30 1687824]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 17:39 55824 C:\WINDOWS\KHALMNPR.Exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 00:00 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NWEReboot"="" []
"d000ae14"="C:\WINDOWS\system32\jvkfrouk.dll" [ ]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CJPG"= ctwbjpg.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\NETGEAR\\WG111v2 Configuration Utility\\RtWLan.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Ubisoft\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"C:\\Programme\\Ubisoft\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

UncleDoc

21.05.2008 20:35

Combofix- Log Teil 2:

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"36448:TCP"= 36448:TCP:Emule
"36449:UDP"= 36449:UDP:Emule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 13:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys []
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 21:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 21:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 21:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 21:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 21:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 21:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 21:06]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 09:57]
S3 WCGOPHAL;WCGOPHAL;C:\WINDOWS\system32\DRIVERS\Wcgophal.sys [2001-12-19 01:02]
S3 WCGOPVID;Video Blaster WebCam Go Plus (WDM);C:\WINDOWS\system32\DRIVERS\Wcgopvid.sys [2002-01-08 01:04]
S3 WEMFX_AT;USB Storage Adapter FX_AT;C:\WINDOWS\system32\DRIVERS\WEMFX_AT.SYS [2004-12-07 11:09]
S3 ZD1211BU(WLAN);802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 11:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b374a4c-bf70-11dc-82eb-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b374a4e-bf70-11dc-82eb-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14ab3f86-1757-11dd-837b-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bce-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd0-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd1-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd2-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd3-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd4-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eb468ea-b4c1-11dc-82d3-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eb468eb-b4c1-11dc-82d3-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f4a8caa-a0d7-11dc-82b2-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62de1a9a-92a8-11dc-8288-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62de1ab0-92a8-11dc-8288-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{717eed7c-c47b-11dc-82f0-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{833bcbd8-dc91-11dc-831c-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{833bcbd9-dc91-11dc-831c-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f0-4a94-11dc-8252-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f1-4a94-11dc-8252-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f2-4a94-11dc-8252-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1fd2a6-0572-11dd-834e-00138f424e42}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1fd2a7-0572-11dd-834e-00138f424e42}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9039208e-dd62-11dc-831d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9bf5e7d4-4a6b-11dc-8251-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9bf5e7d5-4a6b-11dc-8251-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f479840-5a5d-11dc-8272-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f479841-5a5d-11dc-8272-00138f424e42}]
\Shell\AutoRun\command - I:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a142b200-1778-11dd-837c-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5cfb1c-16b3-11dd-8379-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5cfb1d-16b3-11dd-8379-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 15:16:33 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-04-24 19:10:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-18 18:05:11 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1208455429.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-21 21:13:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Logitech\SetPoint II\SetPointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-21 21:22:17 - machine was rebooted [Uncle Doc]
ComboFix-quarantined-files.txt 2008-05-21 19:22:12

20 Verzeichnis(se), 92,064,559,104 Bytes frei
23 Verzeichnis(se), 92,259,594,240 Bytes frei

424

UncleDoc

22.05.2008 00:19

7) SASW- überprüfung hat sich nach 30 Min. Suchlauf nicht mehr gerührt, hat leider funktioniert!!

8) Malewarebytes- check durchgeführt!

9) ESET Online Scanner, lies sich keine Log öffnen, nur das Feld des Druckens...print eben. Sorry aber ich weis ja das es wichtig ist alles zu machen was ihr schreibt !!

Hab den 2 mal über jeweils 1,5 Std. laufen lassen!

10) cCleaner durchgeführt

11) der eScan Link funzt nicht, daher hab ich so geladen und zu einem "na ja Ergbniss" gekommen. Keine Ahnung ob das richtig ist, die Log ist auch fast 1 MB groß, das ist doch komisch oder?

12) HiJackThis Log

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

UncleDoc

22.05.2008 00:21

12) Teil zwei:

iClean Bericht:

iclean log 22.05.2008 01:17:41

Windows XP SP3, Using advanced Kernel functions

Processes
---------
1176 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1232 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1256 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1304 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1324 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1504 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1596 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1644 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1672 - StyleXPService. - StyleXPService.
1744 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1812 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
184 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
320 - AppleMobileDevi - AppleMobileDevi
496 - mDNSResponder.e - mDNSResponder.e
564 - GoogleUpdaterSe - GoogleUpdaterSe
652 - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe - Machine Debug Manager
696 - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe - Windows ZC Control Service
732 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 169.21
864 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
916 - C:\WINDOWS\System32\wdfmgr.exe - Windows User Mode Driver Manager
1132 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
1768 - C:\WINDOWS\WEMBG.EXE - Cypress USB Mass Storage Driver Background Application
1796 - C:\Programme\Macrogaming\SweetIM\SweetIM.exe - SweetIM MSN Messenger Enhancer
1880 - C:\WINDOWS\SOUNDMAN.EXE - Realtek Sound Manager
2088 - C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe - Logitech G-series Profiler (Signed)
2104 - C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe - Logitech LCD Manager (Signed)
2124 - iTunesHelper.ex - iTunesHelper.ex
2132 - C:\WINDOWS\system32\rundll32.exe - Eine DLL-Datei als Anwendung ausführen
2172 - C:\Programme\DAEMON Tools\daemon.exe - Virtual DAEMON Manager (Signed)
2224 - C:\WINDOWS\system32\rundll32.exe - Eine DLL-Datei als Anwendung ausführen
2336 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2380 - C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe - C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
2468 - C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe - Logitech G-series LCD Clock (Signed)
2532 - C:\Programme\ICQ6\ICQ.exe - ICQ Library (Signed)
2552 - C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe - Logitech G-series Media Display (Signed)
2796 - GoogleUpdater.e - GoogleUpdater.e
2832 - LogitechDesktop - LogitechDesktop
2860 - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe - Privoxy
2892 - C:\Programme\Logitech\SetPoint II\SetpointII.exe - Logitech SetPoint EventManager
2996 - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE - Logitech KHAL Main Process (Signed)
3080 - C:\PROGRA~1\INCRED~1\bin\IMApp.exe - IncrediMail Application
3236 - C:\Programme\iPod\bin\iPodService.exe - iPodService Module (Signed)
3812 - C:\Programme\Vidalia Bundle\Tor\tor.exe - C:\Programme\Vidalia Bundle\Tor\tor.exe
1720 - C:\WINDOWS\explorer.exe - Windows Explorer
1080 - C:\Programme\Winamp\winamp.exe - Winamp
2788 - C:\PROGRA~1\eScan\TRAYSSER.EXE - eScan Service Controller for TRAYICOS
2612 - C:\PROGRA~1\eScan\consctl.exe - Application Blocker
660 - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE - MWAgent Service
872 - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe - MicroWorld Agent
1920 - C:\PROGRA~1\eScan\VISTA\avpmapp.exe - eScan File Monitoring System
2808 - SCANNINGPROCESS - SCANNINGPROCESS
508 - C:\PROGRA~1\eScan\TRAYICOS.EXE - eScan Updater - Server
2476 - C:\PROGRA~1\eScan\Vista\escanmon.exe - eScan Monitor
2308 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
996 - H:\Treiber\Security\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe=Apple Mobile Device
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
c:\programme\bonjour\mdnsresponder.exe=Bonjour Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
c:\programme\google\common\google updater\googleupdaterservice.exe=gusvc
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
c:\programme\ipod\bin\ipodservice.exe=iPod Service
C:\WINDOWS\system32\svchost.exe=Irmon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe=MDM
c:\programme\gemeinsame dateien\marmiko shared\mzccntrl.exe=MZCCntrl
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=stisvc
c:\programme\tgtsoft\stylexp\stylexpservice.exe=StyleXPService
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=UxTuneUp
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\progra~1\escan\traysser.exe=eScan-trayicos
c:\programme\gemeinsame dateien\microworld\agent\mwaser.exe=MWAgent
c:\progra~1\escan\vista\avpmapp.exe=eScan Monitor Service

Registry
--------
000=HKCU\Run: HuaWeiEVDO.exe="c:\programme\o2\surf box mini\o2 surf box mini.exe"
000=HKCU\Run: ICQ="c:\programme\icq6\icq.exe" silent
000=HKCU\Run: IncrediMail=c:\programme\incredimail\bin\incmail.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKCU\Run: Vidalia="c:\programme\vidalia bundle\vidalia\vidalia.exe"
000=HKLM\Run: AVP="c:\programme\kaspersky lab\kaspersky internet security 7.0\avp.exe"
000=HKLM\Run: DAEMON Tools="c:\programme\daemon tools\daemon.exe" -lang 1033
000=HKLM\Run: eScan Updater=c:\progra~1\escan\trayicos.exe /app
000=HKLM\Run: HPDJ Taskbar Utility=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
000=HKLM\Run: iTunesHelper="c:\programme\itunes\ituneshelper.exe"
000=HKLM\Run: Kernel and Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: Launch LCDMon="c:\programme\logitech\gamepanel software\lcd manager\lcdmon.exe"
000=HKLM\Run: Launch LGDCore="c:\programme\logitech\gamepanel software\g-series software\lgdcore.exe" /showhide
000=HKLM\Run: MailScan Dispatcher="c:\progra~1\escan\launch.exe" /startup
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: SoundMan=c:\windows\soundman.exe
000=HKLM\Run: SW20=c:\windows\system32\sw20.exe
000=HKLM\Run: SW24=c:\windows\system32\sw24.exe
000=HKLM\Run: SweetIM=c:\programme\macrogaming\sweetim\sweetim.exe
000=HKLM\Run: WebCam Go Plus Sti Service Application=wcgopsvc
000=HKLM\Run: WEMBG=c:\windows\wembg.exe
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\PROGRA~1\eScan\DOWNLOAD.EXE=c:\progra~1\escan\download.exe
001=Firewall bypass: C:\PROGRA~1\eScan\LICENSE.EXE=c:\progra~1\escan\license.exe
001=Firewall bypass: C:\PROGRA~1\eScan\MAILADM.EXE=c:\progra~1\escan\mailadm.exe
001=Firewall bypass: C:\PROGRA~1\eScan\TRAYICOS.EXE=c:\progra~1\escan\trayicos.exe
001=Firewall bypass: C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE=c:\progra~1\gemein~1\microw~1\agent\mwagent.exe
001=Firewall bypass: C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE=c:\progra~1\gemein~1\microw~1\escanrad\escanrad.exe
001=Firewall bypass: C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe=c:\programme\activision\call of duty 4 - modern warfare\iw3mp.exe
001=Firewall bypass: C:\Programme\Bonjour\mDNSResponder.exe=c:\programme\bonjour\mdnsresponder.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe=c:\programme\electronic arts\crytek\crysis\bin32\crysis.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe=c:\programme\electronic arts\crytek\crysis\bin32\crysisdedicatedserver.exe
001=Firewall bypass: C:\Programme\eMule\emule.exe=c:\programme\emule\emule.exe
001=Firewall bypass: C:\Programme\Gemeinsame Dateien\Nero\Nero Web\SetupX.exe=c:\programme\gemeinsame dateien\nero\nero web\setupx.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\IMApp.exe=c:\programme\incredimail\bin\imapp.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\ImpCnt.exe=c:\programme\incredimail\bin\impcnt.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\IncMail.exe=c:\programme\incredimail\bin\incmail.exe
001=Firewall bypass: C:\Programme\iTunes\iTunes.exe=c:\programme\itunes\itunes.exe
001=Firewall bypass: C:\Programme\LimeWire\LimeWire.exe=c:\programme\limewire\limewire.exe
001=Firewall bypass: C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe=c:\programme\logitech\desktop messenger\8876480\program\logitechdesktopmessenger.exe
001=Firewall bypass: C:\Programme\Messenger\msmsgs.exe=c:\programme\messenger\msmsgs.exe
001=Firewall bypass: C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe=c:\programme\netgear\wg111v2 configuration utility\rtwlan.exe
001=Firewall bypass: C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe=c:\programme\sisoftware\sisoftware sandra lite xiic\rpcsandrasrv.exe
001=Firewall bypass: C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe=c:\programme\sisoftware\sisoftware sandra lite xiic\win32\rpcdatasrv.exe
001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe
001=Firewall bypass: C:\Programme\Ubisoft\Ghost Recon Advanced Warfighter 2\graw2.exe=c:\programme\ubisoft\ghost recon advanced warfighter 2\graw2.exe
001=Firewall bypass: C:\Programme\Ubisoft\Ghost Recon Advanced Warfighter 2\graw2_dedicated.exe=c:\programme\ubisoft\ghost recon advanced warfighter 2\graw2_dedicated.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrA.exe=c:\windows\system32\pnkbstra.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrB.exe=c:\windows\system32\pnkbstrb.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {02478D38-C3F9-4EFB-9B51-7695ECA05670}=c:\programme\yahoo!\companion\installs\cpn\yt.dll (Yahoo! Toolbar Helper)
030=BHO: {4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}=(null) ()
030=BHO: {A547D2C2-7722-4953-B8A7-5548E75A8901}=(null) ()
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll (Google Toolbar Helper)
030=BHO: {AE7CD045-E861-484f-8273-0445EE161910}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll (AcroIEToolbarHelper Class)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.1.615.5858\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar1.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=c:\progra~1\icqtoo~1\toolbaru.dll
031=Toolbar: {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}=(null)
031=Toolbar: {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}=c:\programme\winamp toolbar\winamptb.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll
031=Toolbar: {855F3B16-6D32-4fe6-8A56-BBB695989046}=c:\progra~1\icqtoo~1\toolbaru.dll
031=Toolbar: {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}=c:\programme\winamp toolbar\winamptb.dll
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\programme\yahoo!\companion\installs\cpn\yt.dll

Startup Folders
---------------
Common: autorunsdisabled
Common: desktop.ini
Common: google updater.lnk -> C:\PROGRA~1\Google\GOOGLE~3\GOOGLE~1.EXE
Common: logitech desktop messenger.lnk -> C:\PROGRA~1\Logitech\DESKTO~1\8876480\Program\LOGITE~1.EXE
Common: privoxy.lnk -> C:\PROGRA~1\VIDALI~1\Privoxy\privoxy.exe
Common: setpointii.lnk -> C:\PROGRA~1\Logitech\SETPOI~1\SETPOI~1.EXE
Personal: AutorunsDisabled
Personal: desktop.ini

HOSTS
-----
127.0.0.1 localhost

Ich hoffe sehr stark das es was gebracht hat...mach jetz nach 7 Stunden Schluß.

Vielen Dank Chris :daumenhoc

undoreal

22.05.2008 08:56

Es gibt einiges zu tun für dich.

Nutzt du eigentlich zwei AntiViren Programme? Die behindern sich gegenseitig! Deinstalliere Symantec/Norton!

Hast du ein Remote Administration Tool auf deinem Rechner am laufen??

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mjy0mthybjrp/avenger.bmp

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

Files to delete:

C:\WINDOWS\system32\mllmj.dll

C:\WINDOWS\system32\shemlstyle.dll

C:\WINDOWS\system32\jvkfrouk.dll

C:\WINDOWS\system32\mhrenfnx.dll

C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_0 1005.Wdf

C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\System32\sw24.exe
C:\WINDOWS\System32\sw20.exe
C:\WINDOWS\system32\Suchspur.dll
C:\WINDOWS\system32\sstts.dll
C:\WINDOWS\System32\dimsntfy.dll
C:\WINDOWS\system32\D3DCompiler_36.dll
C:\WINDOWS\system32\d3dx10_36.dll
C:\WINDOWS\system32\xactengine2_10.dll
C:\WINDOWS\system32\d3dx9_36.dll
C:\WINDOWS\imsins.BAK
C:\WINDOWS\system32\ezsidmv.dat
C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
C:\WINDOWS\system32\67F8008A2B.dll
C:\WINDOWS\system32\Drivers\BRGSp50.sys
C:\WINDOWS\system32\DRIVERS\Wcgo phal.sys
C:\WINDOWS\system32\DRIVERS\Wcgopvid.sys
C:\WINDOWS\system32\DRIVERS\WEMFX_AT.SYS
C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe=c:\programme\sisoftware\siso ftware sandra lite xiic\rpcsandrasrv.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Durchsuche deinen Rechner bitte wie in meiner Sigantur beschrieben wird nach folgenden Dateien: NWEReboot ,

PS: von iClean wird eine Bechreibung für die WEMBG ausgegeben:

Zitat:

1768 - C:\WINDOWS\WEMBG.EXE - Cypress USB Mass Storage Driver Background Application

mal gucken was Kaspersky dazu sagt..

UncleDoc

22.05.2008 18:26

Hallo,

ob ich zwei Virenprogramme habe?!

Ich hab ja min. 5 Stück z. Zt. durch diese ganzen Check´s die ich machen sollte !! Was soll ich jetz mit denen machen, bis vor kurzem hatte ich Antivir...find ich noch am einfachsten zu benutzen.

Ist der wieder zu empfehlen und was mit den Prog. von s.o ?!
Und Norton habe ich nicht, bzw. noch nie gehabt...!
Keine Ahnung wie ihr drauf kommt?!

So und mit dem Avenger war ja noch am einfachsten, hier die Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\mllmj.dll" not found!
Deletion of file "C:\WINDOWS\system32\mllmj.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\shemlstyle.dll" not found!
Deletion of file "C:\WINDOWS\system32\shemlstyle.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\jvkfrouk.dll" not found!
Deletion of file "C:\WINDOWS\system32\jvkfrouk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\mhrenfnx.dll" not found!
Deletion of file "C:\WINDOWS\system32\mhrenfnx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_0 1005.Wdf" not found!
Deletion of file "C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_0 1005.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf" not found!
Deletion of file "C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Und bei Virustotal, wie funzt das??

Einen Pfad wurde mir geschrieben, WELCHEN??
Alle die unter Zitat in dem Kasten stehen??

Wenn ja, hochladen= senden und dann "letzte Ergebnisse" oder "Datei analysieren" ??

Und wie bekomme ich dann die Ergebnisse von allen, wenn nötig, zusammen??
Lässt sich im Menü doch gar nicht machen...oder jeden einzeln? :heulen:

UncleDoc

22.05.2008 19:00

Onlineprüfung mit Virustotal hab ich hin bekommen, nur HASH Angaben finde ich nicht!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 -
BitDefender 7.2 2008.05.22 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.22 -
DrWeb 4.44.0.09170 2008.05.22 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5808 2008.05.21 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 -
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.22 -
Ikarus T3.1.1.26.0 2008.05.22 -
Kaspersky 7.0.0.125 2008.05.22 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.22 -
NOD32v2 3122 2008.05.22 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.22 -
Prevx1 V2 2008.05.22 -
Rising 20.45.32.00 2008.05.22 -
Sophos 4.29.0 2008.05.22 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.22 -
TheHacker 6.2.92.317 2008.05.22 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.22 -
Webwasher-Gateway 6.6.2 2008.05.22 -
weitere Informationen
File size: 33536 bytes
MD5...: 25407685d7e10104ea7b8113bd2361f7
SHA1..: 16958e040e913897278c4fee6d7d3f7f244386bd
SHA256: 7bdb4b85f2fe5acff2ad628ceb27cc7140bf4520c0e599ff8bb4393df003ede3
SHA512: c5dbed7666aa82fc9e3c2aeb89ff9f75d3cc7f69d624fd9e54b8261bf7c2eec8
a101289c8e60a122797361e8814e8b0afc77910276c7c15e1c62a5c7a1dd499c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x105f8
timedatestamp.....: 0x41b541da (Tue Dec 07 05:38:34 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x6bf4 0x6c00 6.52 9e2fde9de8aa70cc54c92d3e4ad82f44
.rdata 0x6f00 0x1b4 0x200 3.92 60a4988d39dd4f1b56360a07e507ca3c
.data 0x7100 0x4c 0x80 1.15 13189e52ef213f0a732f1fe9902e51df
INIT 0x7180 0x700 0x700 5.20 a2c3d32a6eaea4285672947c829d84f7
.rsrc 0x7880 0x408 0x480 3.14 0f37bd67512a255430bb7dbb98e2e557
.reloc 0x7d00 0x600 0x600 6.22 6ac9fd9d4d043696f1aa26b3939f65ea

( 3 imports )
> ntoskrnl.exe: IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoInitializeTimer, KeInitializeSpinLock, IoAttachDeviceToDeviceStack, IoCreateDevice, IofCompleteRequest, _wcsnicmp, wcslen, PoRegisterDeviceForIdleDetection, IoStopTimer, IoDetachDevice, ExFreePool, IoDeleteDevice, KeSetEvent, InterlockedDecrement, ObfReferenceObject, ExAllocatePoolWithTag, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, ZwClose, IoOpenDeviceRegistryKey, IoStartTimer, PoCallDriver, PoStartNextPowerIrp, RtlInitString, IoStartNextPacket, KeClearEvent, InterlockedIncrement, ExQueueWorkItem, IoStartPacket, IoCancelIrp, IoBuildSynchronousFsdRequest, IoReleaseCancelSpinLock, InterlockedExchange, IoAcquireCancelSpinLock, KeRemoveEntryDeviceQueue, ZwQueryValueKey, ZwSetValueKey, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, memmove, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoBuildPartialMdl, RtlInitUnicodeString, RtlUnicodeStringToAnsiString, RtlFreeUnicodeString, IoAllocateIrp, KeInitializeEvent, IofCallDriver, KeWaitForSingleObject, PoRequestPowerIrp, IoFreeIrp, _except_handler3
> HAL.dll: KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock, KfLowerIrql
> USBD.SYS: USBD_GetUSBDIVersion, _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28

( 0 exports )

Was soll ich mit "NWEReboot" machen?? Systemsuche??

Hab ich mal gemacht, nix gefunden...!

Und " C:\WINDOWS\WEMBG.EXE " hab ich bei Kaspersky durchlaufen lassen, ohne Erfolg, also ohne Meldung !

undoreal

22.05.2008 21:22

Zitat:

Was soll ich mit "NWEReboot" machen?? Systemsuche??

In meiner Sigantur findet sich ein Link "Dateien Suche und finden". ;)

Zitat:

Und " C:\WINDOWS\WEMBG.EXE " hab ich bei Kaspersky durchlaufen lassen, ohne Erfolg, also ohne Meldung !

Wie? Hast du eine Antwort per E-Mail bekommen? Poste bitte den Inhalt.

Bei Virustotal musst du jede Datei einzelnd auswerten lassen. Und schreibe bitte drüber welche Datei zu welcher Auswertung gehört. ;)
Alle die im Zitat-Kasten stehen.. ;)

UncleDoc

23.05.2008 12:26

NWEReboot hab ich suche lassen, zeigt mir nichts an!!

Dateisendung an Kasersky, kamen 2 Email zurück:

Keine Log´s o.ä.
Inhalt:

+OK
Subject: 1 neue Mails in Ihrem Spamverdacht-Ordner
Date: Thu, 22 May 2008 07:44:15 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0062_01C754E9.9143AECF"
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
X-GMX-UID: FzoGfKgdX1Vov6MUq2Fygi1ySDc4NMyy

+OK Nachricht folgt/message follows
Precedence: list
Subject: Gratis Blockbuster =?ISO-8859-1?Q?f=FCr_Sie_-_unser_Dankesch=F6n!?=
Content-Type: multipart/alternative; boundary="----Start_Smart_mit_WEB.DE"
MIME-Version: 1.0

Ohne Sendung von Links, deswegen wurde ich schon verwarnt, obwohl die in den Log´s drin standen, kann ich doch nix für!!

Ich hab die Datei nochmal weg geschickt, weil ich ja keine Log erhalten hab.
Die sollte ich richtig per Email zugeschickt bekommen??

Nun zu den Log´s von Virustotal...!
1. C:\WINDOWS\System32\sw24.exe
File size: 69632 bytes
MD5...: ec308d504c0ead9184019340e335f778
SHA1..: fb93bb85b3c458ef6f37a0d18ca3e961f9821cbf
SHA256: 08196365a3ff17c7e8c4551a5d1e972f9296bc28680e8dcec1c64ded485aeab0
SHA512: 1c103ce0ea012300a4c1fd363ca38ed78748c50b842a01e2a16ba3d37593bff0
fd9e955a3d2d6207dd7ce877af4097b27f476b10a743101b1b86b7dd5e89d6b0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4026c3
timedatestamp.....: 0x42c8c92b (Mon Jul 04 05:29:15 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xac74 0xb000 6.54 67e62339018beca0c27aa0733651ab8c
.rdata 0xc000 0x27ee 0x3000 4.89 b11b99e96dba8e0274a306b9ff5a02e0
.data 0xf000 0x2b18 0x1000 2.37 e8d5fa12c2e0d4d9827218e65973aaf2
.rsrc 0x12000 0x9f0 0x1000 3.84 9160f7270dbf051381e725cbffc143f7

( 2 imports )
> KERNEL32.dll: GetVersionExA, MultiByteToWideChar, WideCharToMultiByte, GetLastError, FreeLibrary, GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateFileA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, HeapSize, GetOEMCP, GetCPInfo, GetConsoleMode, GetConsoleCP, SetFilePointer, Sleep, GetLocaleInfoA, GetACP, HeapAlloc, HeapFree, VirtualAlloc, GetModuleHandleA, VirtualQuery, RtlUnwind, RaiseException, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, SetUnhandledExceptionFilter, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, TlsAlloc, InterlockedIncrement, SetLastError, InterlockedDecrement, TlsFree, TlsSetValue, TlsGetValue, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, InitializeCriticalSection
> USER32.dll: LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CreateWindowExA, ShowWindow, UpdateWindow, SendMessageA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, DefWindowProcA, DestroyWindow, DialogBoxParamA, BeginPaint, EndPaint, PostQuitMessage, EndDialog

2.C:\WINDOWS\System32\sw20.exe
Time Error

3.C:\WINDOWS\system32\Suchspur.dll
0 bytes size received / Se ha recibido un archivo vacio

4. C:\WINDOWS\system32\sstts.dll
0 bytes size received / Se ha recibido un archivo vacio

5. C:\WINDOWS\System32\dimsntfy.dll
File size: 19456 bytes
MD5...: 2449d2a51ea2083fa05058f7cef44714
SHA1..: 96191399fccbc0d1da11c36574421b4b974bc1ee
SHA256: 3291589aec31c553c35b54b2d9082bb83035ada5b68abbb351e3ae3e0a9ed18b
SHA512: 2f323cb618aba9b7b9fda7a30c3bed5f30b1d0da98633b759522ab44f6e07cd6
8add87102c14dc0836cddf21f1845b330ef50482998de814f3bbf636137d9cc8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4712416a
timedatestamp.....: 0x4802bf88 (Mon Apr 14 02:20:56 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bba 0x3c00 6.40 d5c789f4158a1c0c2001e18fa3102a72
.data 0x5000 0x214 0x200 1.10 0f7819b5602a8da1a0f7f40e11f2b9de
.rsrc 0x6000 0x3f0 0x400 3.37 ce0a21d8f09428816f61b53fc0edd368
.reloc 0x7000 0x4a6 0x600 5.15 3b4a52062ac50e13c4151a297a2dfefe

( 6 imports )
> msvcrt.dll: _adjust_fdiv, srand, rand, wcslen, malloc, _initterm, free
> ntdll.dll: RtlInitUnicodeString, RtlSetEnvironmentVariable
> KERNEL32.dll: CreateProcessW, DuplicateHandle, GetCurrentProcess, CreatePipe, FlushFileBuffers, InterlockedDecrement, RegisterWaitForSingleObject, WriteFile, DeleteTimerQueueTimer, InterlockedExchange, Sleep, InterlockedExchangeAdd, CreateTimerQueueTimer, MulDiv, OpenEventW, FindCloseChangeNotification, FindNextChangeNotification, FindFirstChangeNotificationW, QueueUserWorkItem, SetEvent, LocalFree, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, UnregisterWaitEx, InterlockedIncrement, GetLastError, CloseHandle, DisableThreadLibraryCalls, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetSystemTimeAsFileTime, CreateEventW, LocalAlloc
> ADVAPI32.dll: AddAccessDeniedAceEx, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, GetTokenInformation, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, CreateProcessAsUserW, RegDeleteKeyW, GetLengthSid, InitializeAcl, AddAccessAllowedAceEx, RegQueryValueExW, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegCreateKeyExW, RegSetValueExW, RegCloseKey, TraceMessage, DuplicateTokenEx, RegOpenKeyExW
> NETAPI32.dll: DsRoleGetPrimaryDomainInformation, DsRoleFreeMemory
> USERENV.dll: DestroyEnvironmentBlock, CreateEnvironmentBlock, UnregisterGPNotification, RegisterGPNotification, -

( 7 exports )
WlDimsLock, WlDimsLogoff, WlDimsLogon, WlDimsShutdown, WlDimsStartShell, WlDimsStartup, WlDimsUnlock

Und was mache ich jetz mit den ganzen Virenprogs?? Die laufen ja nebenbei und fressen richtig schön Perfomance!!

Deinstall??

BataAlexander

23.05.2008 13:13

Du machst einige Sachen auf dem Rechner grundlegend Falsch.

Folgende Programm solltest Du deinstallieren und nicht mehr verwenden

- emule
- Tor / Vidalia
- Incredimail
- limewire

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Killall::
 

File::

C:\WINDOWS\system32\jvkfrouk.dll

C:\WINDOWS\system32\sstts.dll

D:\autorun.exe

F:\AutoRun.exe

I:\AutoRun.exe

G:\AutoRun.exe

C:\WINDOWS\system32\mllmj.dll
 
 

Folder::

C:\Programme\Macrogaming

C:\VundoFix Backups
 

Filelook::

C:\WINDOWS\system32\67F8008A2B.dll

C:\WINDOWS\system32\nview.dll

C:\WINDOWS\system32\drivers\sptd9597.sys
 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A547D2C2-7722-4953-B8A7-5548E75A8901}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SweetIM"=-

"NWEReboot"=-

"d000ae14"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b374a4c-bf70-11dc-82eb-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b374a4e-bf70-11dc-82eb-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14ab3f86-1757-11dd-837b-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bce-49c9-11dc-824d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd0-49c9-11dc-824d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd1-49c9-11dc-824d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd2-49c9-11dc-824d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd3-49c9-11dc-824d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd4-49c9-11dc-824d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eb468ea-b4c1-11dc-82d3-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eb468eb-b4c1-11dc-82d3-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f4a8caa-a0d7-11dc-82b2-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62de1a9a-92a8-11dc-8288-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62de1ab0-92a8-11dc-8288-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{717eed7c-c47b-11dc-82f0-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{833bcbd8-dc91-11dc-831c-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{833bcbd9-dc91-11dc-831c-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f0-4a94-11dc-8252-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f1-4a94-11dc-8252-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f2-4a94-11dc-8252-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1fd2a6-0572-11dd-834e-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1fd2a7-0572-11dd-834e-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9039208e-dd62-11dc-831d-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9bf5e7d4-4a6b-11dc-8251-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9bf5e7d5-4a6b-11dc-8251-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f479840-5a5d-11dc-8272-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f479841-5a5d-11dc-8272-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a142b200-1778-11dd-837c-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5cfb1c-16b3-11dd-8379-00138f424e42}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5cfb1d-16b3-11dd-8379-00138f424e42}]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Dann direkt danach

Flashdisinfector

Lade Flash_Disinfector.exe und speichere es auf Deinen Desktop.
Doppleklicke Flash_Disinfector.exe um es zu starten und folge den Anweisungen.
Das Programm bittet Dich Flash Drives (USB Sticks/Festplatten) und alle entfernbaren Medien (auch Dein Handy) anzuschließen. Bitte mach dies und erlaube dem Programm diese Laufwerke auch zu reinigen.
Warte bis das Programm den Scan abgeschlossen hat und schließe das Programm dann.
Reboote Deinen Rechner wenn Du die obigen Punkte ausgeführt hast.

Jetzt bitte das neue CF Log.

UncleDoc

23.05.2008 21:59

Hab soweit alles deinstall...

Was für Email- Sammelprog ist denn zu empfehlen...?!
Und was mach ich jetzt wegen, mit den anderen Prog.´s wie cCleaner, SuperAntiSpyware, Malewarebytes...usw???!!
Hab schon 2 * gefragt....

ComboFix 08-05-21.3 - Uncle Doc 2008-05-23 22:33:45.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1669 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Uncle Doc\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Uncle Doc\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\jvkfrouk.dll
C:\WINDOWS\system32\mllmj.dll
C:\WINDOWS\system32\sstts.dll
D:\autorun.exe
F:\AutoRun.exe
G:\AutoRun.exe
I:\AutoRun.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Macrogaming
C:\Programme\Macrogaming\SweetIM\conf\adapter.xml
C:\Programme\Macrogaming\SweetIM\conf\logger.xml
C:\Programme\Macrogaming\SweetIM\conf\messages.xml
C:\Programme\Macrogaming\SweetIM\conf\sweetim.xml
C:\Programme\Macrogaming\SweetIM\conf\sweetimapp.xml
C:\Programme\Macrogaming\SweetIM\conf\users\Christian_UncleDoc@web.de\emoticons_shortcut.xml
C:\Programme\Macrogaming\SweetIM\conf\users\Christian_UncleDoc@web.de\lastuse_Emoticons.xml
C:\Programme\Macrogaming\SweetIM\conf\users\Christian_UncleDoc@web.de\lastuse_SpecialFX.xml
C:\Programme\Macrogaming\SweetIM\conf\users\Christian_UncleDoc@web.de\lastuse_Winks.xml
C:\Programme\Macrogaming\SweetIM\conf\users\Christian_UncleDoc@web.de\user_config.xml
C:\Programme\Macrogaming\SweetIM\conf\users\main_user_config.xml
C:\Programme\Macrogaming\SweetIM\data\contentdb\000100D9.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000100E7.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000100E8.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00010847.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0001084F.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00010857.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00010859.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0001085D.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0001087C.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00010885.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002005C.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002005E.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002005F.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020068.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020069.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002006C.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002006D.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002006E.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020071.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020073.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020075.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020077.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020078.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020079.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002007D.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020080.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020099.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002009A.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000200A2.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000200AE.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000200B8.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000200CC.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\000200D8.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020114.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020119.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002011C.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020120.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020127.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00020139.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0002013D.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00030007.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00030011.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00040011.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0004001F.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00040022.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00040029.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0004004F.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00040067.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0004009B.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0004009F.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00050001.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00050002.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0006001D.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00060027.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\0006006B.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\00060086.dat
C:\Programme\Macrogaming\SweetIM\data\contentdb\cache_indx.dat
C:\Programme\Macrogaming\SweetIM\default.xml
C:\Programme\Macrogaming\SweetIM\mgAdaptersProxy.dll
C:\Programme\Macrogaming\SweetIM\mgArchive.dll
C:\Programme\Macrogaming\SweetIM\mgcommon.dll
C:\Programme\Macrogaming\SweetIM\mgcommunication.dll
C:\Programme\Macrogaming\SweetIM\mgconfig.dll
C:\Programme\Macrogaming\SweetIM\mgFlashPlayer.dll
C:\Programme\Macrogaming\SweetIM\mghooking.dll
C:\Programme\Macrogaming\SweetIM\mgIEPlayer.dll
C:\Programme\Macrogaming\SweetIM\mglogger.dll
C:\Programme\Macrogaming\SweetIM\mgMsnAuto.dll
C:\Programme\Macrogaming\SweetIM\mgMsnMessengerAdapter.dll
C:\Programme\Macrogaming\SweetIM\mgMsnProt.dll
C:\Programme\Macrogaming\SweetIM\mgSweetIM.dll
C:\Programme\Macrogaming\SweetIM\mgUpdateSupport.dll
C:\Programme\Macrogaming\SweetIM\mgxml_wrapper.dll
C:\Programme\Macrogaming\SweetIM\resources\gdiplus.dll
C:\Programme\Macrogaming\SweetIM\resources\ImageOle.dll
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Macrogaming\SweetIM\update\lastversioninfo.xml
C:\VundoFix Backups
C:\VundoFix Backups\sstts.dll.bad
C:\VundoFix Backups\sttss.ini.bad
C:\VundoFix Backups\sttss.ini2.bad
D:\autorun.exe . . . . Nicht in der Lage zu löschen
F:\AutoRun.exe . . . . Nicht in der Lage zu löschen

UncleDoc

23.05.2008 22:00

((((((((((((((((((((((( Dateien erstellt von 2008-04-23 bis 2008-05-23 ))))))))))))))))))))))))))))))
.

2008-05-23 22:18 . 2008-05-23 22:18 268 --ah----- C:\sqmdata00.sqm
2008-05-23 22:18 . 2008-05-23 22:18 244 --ah----- C:\sqmnoopt00.sqm
2008-05-23 22:09 . 2008-05-23 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Vidalia
2008-05-23 10:47 . 2008-05-23 10:47 53,213 --a------ C:\WINDOWS\WEMbg.zip
2008-05-22 07:38 . 2008-05-23 22:04 21 --a------ C:\WINDOWS\escan.dbf
2008-05-22 00:58 . 2008-05-22 00:58 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-05-22 00:58 . 2008-05-22 00:58 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-22 00:58 . 2008-05-22 00:58 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-22 00:58 . 2008-05-22 00:58 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-05-22 00:58 . 2008-05-22 00:58 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-05-22 00:58 . 2008-05-22 00:58 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-05-22 00:56 . 2008-05-22 00:56 26,984,462 --a------ C:\WINDOWS\hklmSY.reg
2008-05-22 00:55 . 2008-05-22 00:56 6,557,837 --a------ C:\WINDOWS\REGBK00.ZIP
2008-05-22 00:34 . 2008-05-22 00:34 <DIR> d-------- C:\Programme\CCleaner
2008-05-22 00:34 . 2008-05-22 00:34 20 --a------ C:\WINDOWS\WIN.PRO
2008-05-22 00:33 . 2008-05-22 19:10 <DIR> d-------- C:\Programme\Yahoo!
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\PUB
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Startmen
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-05-22 00:27 . 2008-05-22 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente
2008-05-22 00:27 . 2008-04-14 07:53 153,600 --a------ C:\WINDOWS\R.COM
2008-05-22 00:27 . 2008-04-14 07:53 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-05-22 00:27 . 2008-05-22 00:27 124,626 --a------ C:\WINDOWS\winsbak2.reg
2008-05-22 00:27 . 2008-05-22 00:27 17,596 --a------ C:\WINDOWS\winsbak.reg
2008-05-22 00:27 . 2008-05-05 16:48 211 --a------ C:\bootini.ins
2008-05-22 00:27 . 2008-05-22 01:00 50 --a------ C:\23990098.$$$
2008-05-22 00:26 . 2008-05-22 00:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-05-22 00:26 . 2008-05-23 22:37 <DIR> d-------- C:\Programme\eScan
2008-05-22 00:25 . 2008-05-22 00:25 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-05-21 23:17 . 2008-05-22 00:27 <DIR> d-------- C:\Programme\EsetOnlineScanner
2008-05-21 22:12 . 2008-05-21 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Malwarebytes
2008-05-21 21:43 . 2008-05-21 21:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-21 21:43 . 2008-05-21 21:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-21 21:43 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-21 21:43 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-21 21:27 . 2008-05-21 21:27 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-05-21 21:27 . 2008-05-21 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-21 21:27 . 2008-05-21 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-21 19:55 . 2008-05-22 07:48 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-21 19:55 . 2008-05-22 07:48 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-21 19:54 . 2008-05-21 19:54 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-21 19:54 . 2008-05-23 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-21 19:54 . 2008-05-22 08:28 12,483,104 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-21 19:54 . 2008-05-22 08:28 169,304 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-21 19:54 . 2008-05-22 08:28 34,848 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-21 19:54 . 2008-05-22 08:28 5,360 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-21 19:53 . 2008-05-21 20:20 3,830 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-21 19:46 . 2008-05-21 19:46 <DIR> d-------- C:\kav
2008-05-20 20:15 . 2008-05-20 20:15 <DIR> d-------- C:\Programme\Trend Micro
2008-05-19 13:29 . 2008-05-22 20:12 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-19 13:20 . 2008-05-19 13:20 92 --a------ C:\WINDOWS\wininit.ini
2008-05-19 12:59 . 2008-05-19 12:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-18 18:36 . 2008-05-18 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Command & Conquer 3 Kanes Rache
2008-05-18 18:34 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-05-18 18:34 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-05-18 18:34 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-05-18 18:33 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-05-18 18:04 . 2008-05-18 18:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-12 11:50 . 2008-05-13 15:37 <DIR> d-------- C:\WINDOWS\system32\seidel_0508 dir
2008-05-05 16:39 . 2008-05-05 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-30 18:26 . 2008-04-30 18:30 <DIR> d-------- C:\Programme\Your Uninstaller 2008
2008-04-30 18:26 . 2008-04-30 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\URSoft
2008-04-30 18:21 . 2008-04-30 18:21 <DIR> d-------- C:\Programme\WINcon 5.0
2008-04-30 15:09 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-04-29 19:53 . 2008-05-05 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\skypePM
2008-04-29 19:53 . 2008-04-29 19:53 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-04-29 19:52 . 2008-05-05 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Programme\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-26 12:07 . 2008-04-26 12:07 127,034 -r------- C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2008-04-26 12:07 . 2008-04-26 12:07 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-04-26 12:06 . 2008-04-26 12:06 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-26 12:05 . 2008-04-26 12:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logishrd
2008-04-26 12:04 . 2008-04-26 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 20:37 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\tor
2008-05-23 20:17 --------- d-----w C:\Programme\Google
2008-05-23 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-23 20:08 --------- d-----w C:\Programme\IncrediMail
2008-05-23 20:07 --------- d-----w C:\Programme\Vidalia Bundle
2008-05-23 20:06 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-23 20:06 --------- d-----w C:\Programme\eMule
2008-05-21 22:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-05-21 22:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-21 19:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-21 16:17 --------- d-----w C:\Programme\Java
2008-05-19 16:57 --------- d-----w C:\Programme\Winamp
2008-05-18 16:14 --------- d-----w C:\Programme\Electronic Arts
2008-05-14 09:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-05-13 13:44 --------- d-----w C:\Programme\Nero
2008-05-09 21:32 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\ICQ
2008-05-09 09:41 --------- d-----w C:\Programme\MSN Messenger
2008-05-07 09:53 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\AdobeUM
2008-05-05 14:39 --------- d-----w C:\Programme\Logitech
2008-05-01 13:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-01 13:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-04-30 16:34 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2008-04-30 13:15 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd9597.sys
2008-04-28 17:50 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Metacafe
2008-04-28 17:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Metacafe
2008-04-20 19:58 --------- d-----w C:\Programme\Ashampoo
2008-04-19 15:09 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Nero
2008-04-19 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-04-19 15:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-19 10:39 --------- d-----w C:\Programme\ICQ6
2008-04-17 18:00 82,380 ----a-w C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-04-17 18:00 --------- d-----w C:\Programme\Hewlett-Packard
2008-04-17 09:35 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\vlc
2008-04-14 18:30 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-14 17:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-04-14 17:29 --------- d-----w C:\Programme\SlySoft
2008-04-14 15:30 --------- d-----w C:\Programme\Elaborate Bytes
2008-04-14 15:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-04-14 15:14 --------- d-----w C:\Programme\DVD Shrink DE
2008-04-14 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-04-14 14:59 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\dvdcss
2008-04-14 05:53 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:53 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 05:53 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 05:32 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 05:32 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 05:32 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 05:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 05:32 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 05:28 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 05:28 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 05:28 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 05:28 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 05:28 14,720 ----a-w C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-14 05:27 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 05:26 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 05:25 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 05:25 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 05:24 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 05:22 57,728 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 05:22 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 05:22 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 05:22 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 05:21 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 05:20 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 05:20 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 05:19 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 05:19 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 05:19 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 22:58 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 22:51 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 22:50 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 22:50 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 22:50 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 22:49 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 22:49 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 22:49 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 22:49 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 22:49 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 22:47 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 22:47 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 22:47 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 22:46 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 22:46 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 22:45 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 22:45 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 22:45 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 22:44 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 22:44 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 22:30 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 22:30 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 22:27 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 22:27 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 22:27 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 22:27 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 22:27 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2006-08-15 17:10 80 --sh--r C:\WINDOWS\system32\67F8008A2B.dll
2001-08-18 19:00 253,952 -csha-w C:\WINDOWS\system32\msvcrt20.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\67F8008A2B.dll -- Not a PE file.
C:\WINDOWS\system32\drivers\sptd9597.sys -- Not a PE file.

---- C:\WINDOWS\system32\nview.dll ----
Company: NVIDIA Corporation
File Description: NVIDIA nView Desktop and Window Manager 111.32
File Version: 6.14.10.11132
Product Name: NVIDIA nView Desktop and Window Manager 111.32
Copyright: (C) NVIDIA Corporation. All rights reserved.
Original file name: nView.dll

((((((((((((((((((((((((((((( snapshot_2008-05-23_22.29.22.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-23 20:20:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-23 20:36:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 23:49 12889088]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"HuaWeiEVDO.exe"="C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe" [2007-04-12 10:54 942080]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-13 12:43 1510640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WEMBG"="C:\WINDOWS\WEMBG.EXE" [2004-12-07 11:09 118784]
"WebCam Go Plus Sti Service Application"="Wcgopsvc" []
"SW24"="C:\WINDOWS\System32\sw24.exe" [2005-07-04 07:29 69632]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2005-06-30 08:03 200704]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 12:01 77824 C:\WINDOWS\SOUNDMAN.EXE]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 02:08 2094352]
"Launch LCDMon"="C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-18 01:30 1687824]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 17:39 55824 C:\WINDOWS\KHALMNPR.Exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 00:00 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"eScan Updater"="C:\PROGRA~1\eScan\TRAYICOS.exe" [2008-02-20 19:56 1300480]
"MailScan Dispatcher"="C:\PROGRA~1\eScan\LAUNCH.exe" [2008-02-19 18:19 192512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CJPG"= ctwbjpg.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

UncleDoc

23.05.2008 22:02

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\NETGEAR\\WG111v2 Configuration Utility\\RtWLan.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Ubisoft\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"C:\\Programme\\Ubisoft\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"=
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\\PROGRA~1\\eScan\\LICENSE.EXE"=
"C:\\PROGRA~1\\eScan\\MAILADM.EXE"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"36448:TCP"= 36448:TCP:Emule
"36449:UDP"= 36449:UDP:Emule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE [2008-02-19 16:53]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 13:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
R3 ProcObsrves;Process Creation Monitor;C:\PROGRA~1\eScan\ProcObsrves.sys [2007-12-10 17:25]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 21:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 21:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 21:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 21:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 21:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 21:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 21:06]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 09:57]
S3 WCGOPHAL;WCGOPHAL;C:\WINDOWS\system32\DRIVERS\Wcgophal.sys [2001-12-19 01:02]
S3 WCGOPVID;Video Blaster WebCam Go Plus (WDM);C:\WINDOWS\system32\DRIVERS\Wcgopvid.sys [2002-01-08 01:04]
S3 WEMFX_AT;USB Storage Adapter FX_AT;C:\WINDOWS\system32\DRIVERS\WEMFX_AT.SYS [2004-12-07 11:09]
S3 ZD1211BU(WLAN);802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 11:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 15:16:33 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-05-22 19:10:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-18 18:05:11 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1208455429.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 22:37:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint II\SetPointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\eScan\Vista\avpmapp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\PROGRA~1\eScan\CONSCTL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\eScan\Vista\SCANNINGPROCESS.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-23 22:45:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-23 20:45:09
ComboFix2.txt 2008-05-23 20:29:37
ComboFix3.txt 2008-05-21 19:22:18

22 Verzeichnis(se), 92,054,650,880 Bytes frei
23 Verzeichnis(se), 92,032,180,224 Bytes frei

480

UncleDoc

23.05.2008 22:06

Weiter Log´s von Virustotal...:
6. C:\WINDOWS\system32\D3DCompiler_36.dll

File size: 1374232 bytes
MD5...: fb4299688a0d3a37687c015ac2b9922d
SHA1..: a4898d246afbb0ed399e77fa5ff29c99caf912a0
SHA256: f15efcab1780fe7d784a3cd3798f147fa249e81b7ef9a494b85dc7fdab084734
SHA512: 664b139754d587dc32820354c1333fe6a5528b07b8bbfaf27374a5da7e86a4c3
e7904250976ef3cf8620fd0568c34fa75704a8b1585c382b99d4ee46518617ae
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x540366
timedatestamp.....: 0x470d6c2c (Thu Oct 11 00:19:56 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1420c6 0x142200 6.19 423d3bbc413944a249074617bfcf383d
.data 0x144000 0x3d80 0x2a00 2.80 dfbec53a5290dca13842c3cd4d839a19
.rsrc 0x148000 0x3c0 0x400 3.22 2324f9c10be599526eaa8d288a309f3f
.reloc 0x149000 0x7e18 0x8000 6.24 28786c8c496d764cfee4d7ff969fd37b

( 3 imports )
> msvcrt.dll: __1type_info@@UAE@XZ, __CxxFrameHandler, _onexit, _lock, __dllonexit, _unlock, isspace, _amsg_exit, _initterm, _XcptFilter, _CxxThrowException, memset, memcpy, setlocale, _strdup, isxdigit, atof, modf, isalnum, isalpha, _strnicmp, _finite, _isnan, _fpclass, ceil, strncmp, isdigit, _clearfp, _controlfp, _purecall, tolower, atoi, memmove, _stricmp, malloc, free, __2@YAPAXI@Z, __3@YAXPAX@Z, strchr, _vsnprintf, strstr, qsort, toupper, floor, _CItanh, _CItan, _CIsinh, _CIsin, _CIlog, _CIfmod, _CIpow, _CIexp, _CIsqrt, _CIcosh, _CIcos, _CIatan2, _CIatan, _CIasin, _CIacos
> GDI32.dll: DeleteObject
> KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, UnmapViewOfFile, CloseHandle, VirtualFree, lstrcmpiA, FreeLibrary, DeleteCriticalSection, InitializeCriticalSection, OutputDebugStringA, GetFullPathNameA, TlsFree, TlsAlloc, InterlockedExchange, Sleep, TlsSetValue, InterlockedCompareExchange, TlsGetValue, GetVersion, GetSystemInfo, GetProcAddress, VirtualAlloc, DisableThreadLibraryCalls, LoadLibraryA, GetModuleHandleA

( 10 exports )
D3DCompileFromMemory, D3DDisassembleCode, D3DDisassembleEffect, D3DGetCodeDebugInfo, D3DGetInputAndOutputSignatureBlob, D3DGetInputSignatureBlob, D3DGetOutputSignatureBlob, D3DPreprocessFromMemory, D3DReflectCode, DebugSetMute

7. C:\WINDOWS\system32\d3dx10_36.dll

File size: 444776 bytes
MD5...: d9158e78a368b08d9133043eb3058c12
SHA1..: d71d6f103bf7433f442f55c355dc74fd4b8a736c
SHA256: aee0248f18dfef8194451a22c69adda1cca38c03ae9aa776114da9d8851d4c38
SHA512: 8bcf2da86f708ae84141089f80131244d957e64c6fed0fc39dc688201659cffa
7005bfd4cbbb315ee0a60c61e38ead3b4e4fcb3d2f0ecd0386a6fbe486d82bd9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x45c938
timedatestamp.....: 0x46a06d54 (Fri Jul 20 08:07:48 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x60c76 0x60e00 6.74 2a2958351accf7554d6c236b51a99561
.data 0x62000 0x5d28 0x5600 3.92 e001b252666bdee7a9d908630ba6e210
.rsrc 0x68000 0x3a0 0x400 3.14 6adc25c639e5cc362aacbb146a31b950
.reloc 0x69000 0x366c 0x3800 6.05 b3fa8bd0fc6d3fd47415c5ff2088786e

( 5 imports )
> msvcrt.dll: __1type_info@@UAE@XZ, _onexit, _lock, __dllonexit, _unlock, _terminate@@YAXXZ, _amsg_exit, _initterm, free, malloc, _XcptFilter, tolower, _stricmp, _CxxThrowException, _isnan, floor, _controlfp, _purecall, _CIatan, _CIcos, _CIasin, _finite, _CIsin, _CIatan2, _CIacos, _CIsqrt, iswspace, iswalpha, iswdigit, iswpunct, memmove, qsort, memset, __2@YAPAXI@Z, memcpy, __3@YAXPAX@Z, _vsnprintf, __CxxFrameHandler
> GDI32.dll: CreateDIBSection, GetCharacterPlacementA, GetCharacterPlacementW, SetTextColor, DeleteDC, DeleteObject, SelectObject, GetGlyphOutlineA, GetTextMetricsA, GetObjectW, GetObjectA, SetBkMode, GetTextMetricsW, GetFontLanguageInfo, CreateFontIndirectA, CreateFontIndirectW, SetTextAlign, SetMapMode, CreateCompatibleDC, ExtTextOutA, MoveToEx, ExtTextOutW, TranslateCharsetInfo, SetBkColor
> KERNEL32.dll: CreateFileA, GetFileSizeEx, ReadFile, WideCharToMultiByte, GetFullPathNameA, GetModuleHandleA, FreeLibrary, GetCurrentProcess, GetProcessAffinityMask, CreateThread, InterlockedIncrement, Sleep, WaitForSingleObject, InterlockedDecrement, DebugBreak, WaitForMultipleObjects, ReleaseSemaphore, MultiByteToWideChar, CloseHandle, CreateSemaphoreA, CreateMutexA, DeleteCriticalSection, InitializeCriticalSection, LoadLibraryA, LeaveCriticalSection, EnterCriticalSection, GetVersion, GetProcAddress, DisableThreadLibraryCalls, IsProcessorFeaturePresent, CreateFileW, GetFileSize, GetModuleFileNameA, InterlockedExchange, InterlockedCompareExchange, OutputDebugStringA, RtlUnwind, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, WriteFile, GetLastError, LockResource, FindResourceW, LoadResource, SizeofResource, FindResourceA, ReleaseMutex
> ADVAPI32.dll: RegCloseKey, RegEnumKeyExA, RegOpenKeyExA, RegQueryValueExA
> ole32.dll: CreateStreamOnHGlobal

( 180 exports )
D3DX10CheckVersion, D3DX10CompileFromFileA, D3DX10CompileFromFileW, D3DX10CompileFromMemory, D3DX10CompileFromResourceA, D3DX10CompileFromResourceW, D3DX10ComputeNormalMap, D3DX10CreateAsyncCompilerProcessor, D3DX10CreateAsyncEffectCreateProcessor, D3DX10CreateAsyncEffectPoolCreateProcessor, D3DX10CreateAsyncFileLoaderA, D3DX10CreateAsyncFileLoaderW, D3DX10CreateAsyncMemoryLoader, D3DX10CreateAsyncResourceLoaderA, D3DX10CreateAsyncResourceLoaderW, D3DX10CreateAsyncShaderPreprocessProcessor, D3DX10CreateAsyncShaderResourceViewProcessor, D3DX10CreateAsyncTextureInfoProcessor, D3DX10CreateAsyncTextureProcessor, D3DX10CreateDevice, D3DX10CreateDeviceAndSwapChain, D3DX10CreateEffectFromFileA, D3DX10CreateEffectFromFileW, D3DX10CreateEffectFromMemory, D3DX10CreateEffectFromResourceA, D3DX10CreateEffectFromResourceW, D3DX10CreateEffectPoolFromFileA, D3DX10CreateEffectPoolFromFileW, D3DX10CreateEffectPoolFromMemory, D3DX10CreateEffectPoolFromResourceA, D3DX10CreateEffectPoolFromResourceW, D3DX10CreateFontA, D3DX10CreateFontIndirectA, D3DX10CreateFontIndirectW, D3DX10CreateFontW, D3DX10CreateMesh, D3DX10CreateShaderResourceViewFromFileA, D3DX10CreateShaderResourceViewFromFileW, D3DX10CreateShaderResourceViewFromMemory, D3DX10CreateShaderResourceViewFromResourceA, D3DX10CreateShaderResourceViewFromResourceW, D3DX10CreateSkinInfo, D3DX10CreateSprite, D3DX10CreateTextureFromFileA, D3DX10CreateTextureFromFileW, D3DX10CreateTextureFromMemory, D3DX10CreateTextureFromResourceA, D3DX10CreateTextureFromResourceW, D3DX10CreateThreadPump, D3DX10DisassembleEffect, D3DX10DisassembleShader, D3DX10FilterTexture, D3DX10GetDriverLevel, D3DX10GetFeatureLevel1, D3DX10GetImageInfoFromFileA, D3DX10GetImageInfoFromFileW, D3DX10GetImageInfoFromMemory, D3DX10GetImageInfoFromResourceA, D3DX10GetImageInfoFromResourceW, D3DX10LoadTextureFromTexture, D3DX10PreprocessShaderFromFileA, D3DX10PreprocessShaderFromFileW, D3DX10PreprocessShaderFromMemory, D3DX10PreprocessShaderFromResourceA, D3DX10PreprocessShaderFromResourceW, D3DX10ReflectShader, D3DX10SHProjectCubeMap, D3DX10SaveTextureToFileA, D3DX10SaveTextureToFileW, D3DX10SaveTextureToMemory, D3DX10UnsetAllDeviceObjects, D3DXBoxBoundProbe, D3DXColorAdjustContrast, D3DXColorAdjustSaturation, D3DXComputeBoundingBox, D3DXComputeBoundingSphere, D3DXCpuOptimizations, D3DXCreateMatrixStack, D3DXFloat16To32Array, D3DXFloat32To16Array, D3DXFresnelTerm, D3DXIntersectTri, D3DXMatrixAffineTransformation, D3DXMatrixAffineTransformation2D, D3DXMatrixDecompose, D3DXMatrixDeterminant, D3DXMatrixInverse, D3DXMatrixLookAtLH, D3DXMatrixLookAtRH, D3DXMatrixMultiply, D3DXMatrixMultiplyTranspose, D3DXMatrixOrthoLH, D3DXMatrixOrthoOffCenterLH, D3DXMatrixOrthoOffCenterRH, D3DXMatrixOrthoRH, D3DXMatrixPerspectiveFovLH, D3DXMatrixPerspectiveFovRH, D3DXMatrixPerspectiveLH, D3DXMatrixPerspectiveOffCenterLH, D3DXMatrixPerspectiveOffCenterRH, D3DXMatrixPerspectiveRH, D3DXMatrixReflect, D3DXMatrixRotationAxis, D3DXMatrixRotationQuaternion, D3DXMatrixRotationX, D3DXMatrixRotationY, D3DXMatrixRotationYawPitchRoll, D3DXMatrixRotationZ, D3DXMatrixScaling, D3DXMatrixShadow, D3DXMatrixTransformation, D3DXMatrixTransformation2D, D3DXMatrixTranslation, D3DXMatrixTranspose, D3DXPlaneFromPointNormal, D3DXPlaneFromPoints, D3DXPlaneIntersectLine, D3DXPlaneNormalize, D3DXPlaneTransform, D3DXPlaneTransformArray, D3DXQuaternionBaryCentric, D3DXQuaternionExp, D3DXQuaternionInverse, D3DXQuaternionLn, D3DXQuaternionMultiply, D3DXQuaternionNormalize, D3DXQuaternionRotationAxis, D3DXQuaternionRotationMatrix, D3DXQuaternionRotationYawPitchRoll, D3DXQuaternionSlerp, D3DXQuaternionSquad, D3DXQuaternionSquadSetup, D3DXQuaternionToAxisAngle, D3DXSHAdd, D3DXSHDot, D3DXSHEvalConeLight, D3DXSHEvalDirection, D3DXSHEvalDirectionalLight, D3DXSHEvalHemisphereLight, D3DXSHEvalSphericalLight, D3DXSHMultiply2, D3DXSHMultiply3, D3DXSHMultiply4, D3DXSHMultiply5, D3DXSHMultiply6, D3DXSHRotate, D3DXSHRotateZ, D3DXSHScale, D3DXSphereBoundProbe, D3DXVec2BaryCentric, D3DXVec2CatmullRom, D3DXVec2Hermite, D3DXVec2Normalize, D3DXVec2Transform, D3DXVec2TransformArray, D3DXVec2TransformCoord, D3DXVec2TransformCoordArray, D3DXVec2TransformNormal, D3DXVec2TransformNormalArray, D3DXVec3BaryCentric, D3DXVec3CatmullRom, D3DXVec3Hermite, D3DXVec3Normalize, D3DXVec3Project, D3DXVec3ProjectArray, D3DXVec3Transform, D3DXVec3TransformArray, D3DXVec3TransformCoord, D3DXVec3TransformCoordArray, D3DXVec3TransformNormal, D3DXVec3TransformNormalArray, D3DXVec3Unproject, D3DXVec3UnprojectArray, D3DXVec4BaryCentric, D3DXVec4CatmullRom, D3DXVec4Cross, D3DXVec4Hermite, D3DXVec4Normalize, D3DXVec4Transform, D3DXVec4TransformArray

UncleDoc

23.05.2008 22:11

8. C:\WINDOWS\system32\xactengine2_10.dll

File size: 267272 bytes
MD5...: 73e055af78a64f9b2779d44407ca2ab6
SHA1..: d771ef11d22a79dba7deccb9b3efedcbe74532d9
SHA256: 113640ae8cf78caa7cface2f906f9e6b60809906f5c26e08b2e90fc48430f3b7
SHA512: a8d979297ecce24a29459e7ff814e53c649a6c969869279dbf0f29edea4d7388
3441519a27e5e46bb1e4b5b942cb26907cea9a488de0067e589632687b25b5be
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41e668
timedatestamp.....: 0x471c7a05 (Mon Oct 22 10:23:01 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3b8db 0x3ba00 6.62 b17c38d605240e60ea7afc664c4e3191
RT_CODE 0x3d000 0x3c 0x200 0.63 92ec7085676fe133e1790b355de69ab8
.data 0x3e000 0x2914 0x400 1.90 8ee2b1f124a97cd393d8f049a830175a
.rsrc 0x41000 0x3f8 0x400 3.36 84eebb917fadd1c9792cf7086daefd04
.reloc 0x42000 0x278a 0x2800 5.69 db5a348a60cf5eb3437f129251b182f8

( 7 imports )
> msvcrt.dll: _aligned_free, _onexit, __dllonexit, _vsnwprintf, _adjust_fdiv, _initterm, strncpy, _CIacos, free, malloc, floor, __2@YAPAXI@Z, _aligned_malloc, _CIpow, wcslen, _isnan, _purecall, __3@YAXPAX@Z, _except_handler3, _vsnprintf, _controlfp
> KERNEL32.dll: HeapSize, GetSystemInfo, LoadLibraryW, GetProcAddress, FreeLibrary, GetVersionExW, lstrcmpW, InterlockedDecrement, InterlockedIncrement, DisableThreadLibraryCalls, GetLastError, GetModuleFileNameA, EnterCriticalSection, LeaveCriticalSection, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, GetCurrentThreadId, HeapFree, GetProcessHeap, HeapAlloc, OutputDebugStringA, InitializeCriticalSection, CreateSemaphoreW, TryEnterCriticalSection, CloseHandle, CreateFileA, InterlockedExchange, QueryPerformanceFrequency, GetOverlappedResult, ReadFile, WaitForMultipleObjects, WaitForSingleObject, SetEvent, CreateThread, CreateEventA, Sleep, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, IsProcessorFeaturePresent, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReleaseSemaphore, GetFileSize, SetEndOfFile, CreateEventW, SetThreadPriority, SwitchToThread, DeleteCriticalSection, GetCurrentProcess, WriteFile, SetFilePointer
> RPCRT4.dll: UuidToStringA, RpcStringFreeA
> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CoCreateInstance, PropVariantClear, CLSIDFromString
> ADVAPI32.dll: RegCreateKeyExA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegSetValueExA
> USER32.dll: GetDesktopWindow
> WINMM.dll: timeEndPeriod, timeBeginPeriod

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

9. C:\WINDOWS\system32\d3dx9_36.dll

File size: 3734536 bytes
MD5...: 44bfec5c9c82a2ee9871d88fd3b9a0e2
SHA1..: e2aeb78330d0815cffedfe88438a71024577d4b6
SHA256: c12f0ab0338eb5031d3d04beaf7208ac848f7e037d21ff963d2af90221cbe935
SHA512: 35c42ce3afeeb3710d3d96d2cf9ffa2828fe17f8d749fd149e3797e87e154508
c77f637de0e424d38bb3fa56bca959cf9da7787323950ec8261b144c09ae306d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x750d21
timedatestamp.....: 0x470d6db0 (Thu Oct 11 00:26:24 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x35df50 0x35e000 6.53 ea8a92b937278d4181b10de0a5ec3039
.data 0x35f000 0x317b0 0x18400 5.82 9a846b13692a33833b24532c072b3496
.rsrc 0x391000 0x378 0x400 3.02 d80248f6d1441802bfa20e2791fd9e39
.reloc 0x392000 0x16b66 0x16c00 6.47 7236434dadf5b8539c909a03d82d71e5

( 4 imports )
> msvcrt.dll: _isatty, _write, _lseeki64, _fileno, __pioinfo, __badioinfo, wctomb, _itoa, _snprintf, isleadbyte, _terminate@@YAXXZ, _onexit, _lock, __dllonexit, _unlock, _amsg_exit, _initterm, _XcptFilter, srand, strtod, fread, fflush, fwrite, abort, _tempnam, exit, atol, _ultoa, wcstombs, rand, isxdigit, atof, _CIcosh, _CIexp, _CIsinh, _CItan, _CItanh, _fpclass, _isnan, strncmp, isalnum, isalpha, toupper, tolower, atoi, floor, _strtime, _strdate, sscanf, isspace, isdigit, _setjmp3, longjmp, ldexp, frexp, calloc, realloc, _CIlog, setlocale, _strdup, free, _clearfp, ceil, _controlfp, malloc, _CIatan, _CIcos, _CIasin, _finite, _CIsin, _CIatan2, _CIacos, memmove, qsort, _CIfmod, _purecall, _stricmp, modf, iswspace, iswalpha, iswdigit, iswpunct, _CIsqrt, memcpy, memset, _CIpow, __2@YAPAXI@Z, __3@YAXPAX@Z, _iob, strchr, _vsnprintf, _strnicmp, _CxxThrowException, __1type_info@@UAE@XZ, _errno, __CxxFrameHandler
> GDI32.dll: DeleteDC, CreateDIBSection, GetGlyphOutlineA, GetTextMetricsA, GetObjectW, DeleteObject, SelectObject, GetCharacterPlacementA, GetCharacterPlacementW, SetTextColor, SetBkColor, SetBkMode, GetTextMetricsW, GetFontLanguageInfo, CreateFontIndirectA, CreateFontIndirectW, SetTextAlign, SetMapMode, CreateCompatibleDC, ExtTextOutA, MoveToEx, ExtTextOutW, TranslateCharsetInfo, GetCurrentObject, GetOutlineTextMetricsA, GetGlyphOutlineW, GetObjectA
> KERNEL32.dll: DeleteFileW, SetFilePointer, GetFileSize, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, FindResourceA, LoadResource, LockResource, SizeofResource, FreeResource, CompareStringA, CreateFileW, GetLastError, FormatMessageA, LocalFree, LeaveCriticalSection, DeleteCriticalSection, InterlockedCompareExchange, Sleep, InitializeCriticalSection, InterlockedExchange, EnterCriticalSection, lstrcmpiA, GetFileSizeEx, GetFullPathNameA, IsDBCSLeadByte, WriteFile, MoveFileA, GetTempFileNameA, CreateFileA, ReadFile, CloseHandle, DeleteFileA, InterlockedDecrement, InterlockedIncrement, IsProcessorFeaturePresent, VirtualFree, GetACP, WideCharToMultiByte, MultiByteToWideChar, OutputDebugStringA, GetModuleHandleA, FreeLibrary, LoadLibraryA, GetVersionExA, GetVersion, GetSystemInfo, GetProcAddress, VirtualAlloc, GetProcessHeap, HeapFree, HeapAlloc, DisableThreadLibraryCalls, MoveFileW, GetTempFileNameW, GlobalMemoryStatus, SetEndOfFile, ExpandEnvironmentStringsA, IsBadCodePtr, IsBadReadPtr, IsBadWritePtr, WaitForSingleObject, ReleaseMutex, CreateMutexA, RtlUnwind, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, TlsGetValue, TlsSetValue, TlsAlloc, FindResourceW, GetTempPathA
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyA, RegCloseKey

( 336 exports )
D3DXAssembleShader, D3DXAssembleShaderFromFileA, D3DXAssembleShaderFromFileW, D3DXAssembleShaderFromResourceA, D3DXAssembleShaderFromResourceW, D3DXBoxBoundProbe, D3DXCheckCubeTextureRequirements, D3DXCheckTextureRequirements, D3DXCheckVersion, D3DXCheckVolumeTextureRequirements, D3DXCleanMesh, D3DXColorAdjustContrast, D3DXColorAdjustSaturation, D3DXCompileShader, D3DXCompileShaderFromFileA, D3DXCompileShaderFromFileW, D3DXCompileShaderFromResourceA, D3DXCompileShaderFromResourceW, D3DXComputeBoundingBox, D3DXComputeBoundingSphere, D3DXComputeIMTFromPerTexelSignal, D3DXComputeIMTFromPerVertexSignal, D3DXComputeIMTFromSignal, D3DXComputeIMTFromTexture, D3DXComputeNormalMap, D3DXComputeNormals, D3DXComputeTangent, D3DXComputeTangentFrame, D3DXComputeTangentFrameEx, D3DXConcatenateMeshes, D3DXConvertMeshSubsetToSingleStrip, D3DXConvertMeshSubsetToStrips, D3DXCreateAnimationController, D3DXCreateBox, D3DXCreateBuffer, D3DXCreateCompressedAnimationSet, D3DXCreateCubeTexture, D3DXCreateCubeTextureFromFileA, D3DXCreateCubeTextureFromFileExA, D3DXCreateCubeTextureFromFileExW, D3DXCreateCubeTextureFromFileInMemory, D3DXCreateCubeTextureFromFileInMemoryEx, D3DXCreateCubeTextureFromFileW, D3DXCreateCubeTextureFromResourceA, D3DXCreateCubeTextureFromResourceExA, D3DXCreateCubeTextureFromResourceExW, D3DXCreateCubeTextureFromResourceW, D3DXCreateCylinder, D3DXCreateEffect, D3DXCreateEffectCompiler, D3DXCreateEffectCompilerFromFileA, D3DXCreateEffectCompilerFromFileW, D3DXCreateEffectCompilerFromResourceA, D3DXCreateEffectCompilerFromResourceW, D3DXCreateEffectEx, D3DXCreateEffectFromFileA, D3DXCreateEffectFromFileExA, D3DXCreateEffectFromFileExW, D3DXCreateEffectFromFileW, D3DXCreateEffectFromResourceA, D3DXCreateEffectFromResourceExA, D3DXCreateEffectFromResourceExW, D3DXCreateEffectFromResourceW, D3DXCreateEffectPool, D3DXCreateFontA, D3DXCreateFontIndirectA, D3DXCreateFontIndirectW, D3DXCreateFontW, D3DXCreateFragmentLinker, D3DXCreateFragmentLinkerEx, D3DXCreateKeyframedAnimationSet, D3DXCreateLine, D3DXCreateMatrixStack, D3DXCreateMesh, D3DXCreateMeshFVF, D3DXCreateNPatchMesh, D3DXCreatePMeshFromStream, D3DXCreatePRTBuffer, D3DXCreatePRTBufferTex, D3DXCreatePRTCompBuffer, D3DXCreatePRTEngine, D3DXCreatePatchMesh, D3DXCreatePolygon, D3DXCreateRenderToEnvMap, D3DXCreateRenderToSurface, D3DXCreateSPMesh, D3DXCreateSkinInfo, D3DXCreateSkinInfoFVF, D3DXCreateSkinInfoFromBlendedMesh, D3DXCreateSphere, D3DXCreateSprite, D3DXCreateTeapot, D3DXCreateTextA, D3DXCreateTextW, D3DXCreateTexture, D3DXCreateTextureFromFileA, D3DXCreateTextureFromFileExA, D3DXCreateTextureFromFileExW, D3DXCreateTextureFromFileInMemory, D3DXCreateTextureFromFileInMemoryEx, D3DXCreateTextureFromFileW, D3DXCreateTextureFromResourceA, D3DXCreateTextureFromResourceExA, D3DXCreateTextureFromResourceExW, D3DXCreateTextureFromResourceW, D3DXCreateTextureGutterHelper, D3DXCreateTextureShader, D3DXCreateTorus, D3DXCreateVolumeTexture, D3DXCreateVolumeTextureFromFileA, D3DXCreateVolumeTextureFromFileExA, D3DXCreateVolumeTextureFromFileExW, D3DXCreateVolumeTextureFromFileInMemory, D3DXCreateVolumeTextureFromFileInMemoryEx, D3DXCreateVolumeTextureFromFileW, D3DXCreateVolumeTextureFromResourceA, D3DXCreateVolumeTextureFromResourceExA, D3DXCreateVolumeTextureFromResourceExW, D3DXCreateVolumeTextureFromResourceW, D3DXDebugMute, D3DXDeclaratorFromFVF, D3DXDisassembleEffect, D3DXDisassembleShader, D3DXFVFFromDeclarator, D3DXFileCreate, D3DXFillCubeTexture, D3DXFillCubeTextureTX, D3DXFillTexture, D3DXFillTextureTX, D3DXFillVolumeTexture, D3DXFillVolumeTextureTX, D3DXFilterTexture, D3DXFindShaderComment, D3DXFloat16To32Array, D3DXFloat32To16Array, D3DXFrameAppendChild, D3DXFrameCalculateBoundingSphere, D3DXFrameDestroy, D3DXFrameFind, D3DXFrameNumNamedMatrices, D3DXFrameRegisterNamedMatrices, D3DXFresnelTerm, D3DXGatherFragments, D3DXGatherFragmentsFromFileA, D3DXGatherFragmentsFromFileW, D3DXGatherFragmentsFromResourceA, D3DXGatherFragmentsFromResourceW, D3DXGenerateOutputDecl, D3DXGeneratePMesh, D3DXGetDeclLength, D3DXGetDeclVertexSize, D3DXGetDriverLevel, D3DXGetFVFVertexSize, D3DXGetImageInfoFromFileA, D3DXGetImageInfoFromFileInMemory, D3DXGetImageInfoFromFileW, D3DXGetImageInfoFromResourceA, D3DXGetImageInfoFromResourceW, D3DXGetPixelShaderProfile, D3DXGetShaderConstantTable, D3DXGetShaderConstantTableEx, D3DXGetShaderInputSemantics, D3DXGetShaderOutputSemantics, D3DXGetShaderSamplers, D3DXGetShaderSize, D3DXGetShaderVersion, D3DXGetVertexShaderProfile, D3DXIntersect, D3DXIntersectSubset, D3DXIntersectTri, D3DXLoadMeshFromXA, D3DXLoadMeshFromXInMemory, D3DXLoadMeshFromXResource, D3DXLoadMeshFromXW, D3DXLoadMeshFromXof, D3DXLoadMeshHierarchyFromXA, D3DXLoadMeshHierarchyFromXInMemory, D3DXLoadMeshHierarchyFromXW, D3DXLoadPRTBufferFromFileA, D3DXLoadPRTBufferFromFileW, D3DXLoadPRTCompBufferFromFileA, D3DXLoadPRTCompBufferFromFileW, D3DXLoadPatchMeshFromXof, D3DXLoadSkinMeshFromXof, D3DXLoadSurfaceFromFileA, D3DXLoadSurfaceFromFileInMemory, D3DXLoadSurfaceFromFileW, D3DXLoadSurfaceFromMemory, D3DXLoadSurfaceFromResourceA, D3DXLoadSurfaceFromResourceW, D3DXLoadSurfaceFromSurface, D3DXLoadVolumeFromFileA, D3DXLoadVolumeFromFileInMemory, D3DXLoadVolumeFromFileW, D3DXLoadVolumeFromMemory, D3DXLoadVolumeFromResourceA, D3DXLoadVolumeFromResourceW, D3DXLoadVolumeFromVolume, D3DXMatrixAffineTransformation, D3DXMatrixAffineTransformation2D, D3DXMatrixDecompose, D3DXMatrixDeterminant, D3DXMatrixInverse, D3DXMatrixLookAtLH, D3DXMatrixLookAtRH, D3DXMatrixMultiply, D3DXMatrixMultiplyTranspose, D3DXMatrixOrthoLH, D3DXMatrixOrthoOffCenterLH, D3DXMatrixOrthoOffCenterRH, D3DXMatrixOrthoRH, D3DXMatrixPerspectiveFovLH, D3DXMatrixPerspectiveFovRH, D3DXMatrixPerspectiveLH, D3DXMatrixPerspectiveOffCenterLH, D3DXMatrixPerspectiveOffCenterRH, D3DXMatrixPerspectiveRH, D3DXMatrixReflect, D3DXMatrixRotationAxis, D3DXMatrixRotationQuaternion, D3DXMatrixRotationX, D3DXMatrixRotationY, D3DXMatrixRotationYawPitchRoll, D3DXMatrixRotationZ, D3DXMatrixScaling, D3DXMatrixShadow, D3DXMatrixTransformation, D3DXMatrixTransformation2D, D3DXMatrixTranslation, D3DXMatrixTranspose, D3DXOptimizeFaces, D3DXOptimizeVertices, D3DXPlaneFromPointNormal, D3DXPlaneFromPoints, D3DXPlaneIntersectLine, D3DXPlaneNormalize, D3DXPlaneTransform, D3DXPlaneTransformArray, D3DXPreprocessShader, D3DXPreprocessShaderFromFileA, D3DXPreprocessShaderFromFileW, D3DXPreprocessShaderFromResourceA, D3DXPreprocessShaderFromResourceW, D3DXQuaternionBaryCentric, D3DXQuaternionExp, D3DXQuaternionInverse, D3DXQuaternionLn, D3DXQuaternionMultiply, D3DXQuaternionNormalize, D3DXQuaternionRotationAxis, D3DXQuaternionRotationMatrix, D3DXQuaternionRotationYawPitchRoll, D3DXQuaternionSlerp, D3DXQuaternionSquad, D3DXQuaternionSquadSetup, D3DXQuaternionToAxisAngle, D3DXRectPatchSize, D3DXSHAdd, D3DXSHDot, D3DXSHEvalConeLight, D3DXSHEvalDirection, D3DXSHEvalDirectionalLight, D3DXSHEvalHemisphereLight, D3DXSHEvalSphericalLight, D3DXSHMultiply2, D3DXSHMultiply3, D3DXSHMultiply4, D3DXSHMultiply5, D3DXSHMultiply6, D3DXSHPRTCompSplitMeshSC, D3DXSHPRTCompSuperCluster, D3DXSHProjectCubeMap, D3DXSHRotate, D3DXSHRotateZ, D3DXSHScale, D3DXSaveMeshHierarchyToFileA, D3DXSaveMeshHierarchyToFileW, D3DXSaveMeshToXA, D3DXSaveMeshToXW, D3DXSavePRTBufferToFileA, D3DXSavePRTBufferToFileW, D3DXSavePRTCompBufferToFileA, D3DXSavePRTCompBufferToFileW, D3DXSaveSurfaceToFileA, D3DXSaveSurfaceToFileInMemory, D3DXSaveSurfaceToFileW, D3DXSaveTextureToFileA, D3DXSaveTextureToFileInMemory, D3DXSaveTextureToFileW, D3DXSaveVolumeToFileA, D3DXSaveVolumeToFileInMemory, D3DXSaveVolumeToFileW, D3DXSimplifyMesh, D3DXSphereBoundProbe, D3DXSplitMesh, D3DXTessellateNPatches, D3DXTessellateRectPatch, D3DXTessellateTriPatch, D3DXTriPatchSize, D3DXUVAtlasCreate, D3DXUVAtlasPack, D3DXUVAtlasPartition, D3DXValidMesh, D3DXValidPatchMesh, D3DXVec2BaryCentric, D3DXVec2CatmullRom, D3DXVec2Hermite, D3DXVec2Normalize, D3DXVec2Transform, D3DXVec2TransformArray, D3DXVec2TransformCoord, D3DXVec2TransformCoordArray, D3DXVec2TransformNormal, D3DXVec2TransformNormalArray, D3DXVec3BaryCentric, D3DXVec3CatmullRom, D3DXVec3Hermite, D3DXVec3Normalize, D3DXVec3Project, D3DXVec3ProjectArray, D3DXVec3Transform, D3DXVec3TransformArray, D3DXVec3TransformCoord, D3DXVec3TransformCoordArray, D3DXVec3TransformNormal, D3DXVec3TransformNormalArray, D3DXVec3Unproject, D3DXVec3UnprojectArray, D3DXVec4BaryCentric, D3DXVec4CatmullRom, D3DXVec4Cross, D3DXVec4Hermite, D3DXVec4Normalize, D3DXVec4Transform, D3DXVec4TransformArray, D3DXWeldVertices

UncleDoc

23.05.2008 22:17

10. C:\WINDOWS\imsins.BAK

0 bytes size received / Se ha recibido un archivo vacio

11. C:\WINDOWS\system32\ezsidmv.dat

File size: 56 bytes
MD5...: ee5a43d64084842c6d8e1104091d0320
SHA1..: 70efa0b6a57d1a16e9e9fdc6a3adb7ae46125748
SHA256: eb2b18586af4c8d1592beb0371ec2e2b36ae4362258f5b7bc1abf198be16261e
SHA512: 2ea62c188ea9e58fad8b89617eb71f7ee7b57b2eac90d2105ee6c7309b0794b2
205d170b4c4040ce8e43ce99b2be5589f80fc91dbab43266d0fc88e359014b30
PEiD..: -
PEInfo: -

12. C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe

File size: 127034 bytes
MD5...: 21007bd289539a3ca0d0f3653dc11258
SHA1..: 3f748144d07cd7609dae51ae0588f46e994c73c4
SHA256: 072408c4c02de98c6dfcfa83b86f2dfebeadd1a085c371d2d8b78df9c9e670dc
SHA512: 1063aac29899b35575a6f6369033b4855dcfcddfe733b7690042cd7af9d692c5
ca62c73f4fbb12707abb4ed8be4215b4b369f5a55a34407309bb815bf51cf90b
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40e536
timedatestamp.....: 0x455910f7 (Tue Nov 14 00:42:31 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe10e 0xf000 6.21 e916f8864e9c7b2fe0b96bef1e5f7e45
.rdata 0x10000 0x3c02 0x4000 5.35 5a9c9f9f9ff15ff15dcdd43eb0033aa1
.data 0x14000 0xb6e8 0x9000 4.90 fa1f2d7ab0d9fd1e4b379009d219da58
.rsrc 0x20000 0x1480 0x2000 3.33 5d1e5c5971a2cfe084c97dd0e154025e

( 8 imports )
> MSVCRT.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _chsize, fseek, fwrite, fread, _get_osfhandle, sscanf, _stat, swprintf, memset, strchr, realloc, atoi, fgets, _mbschr, _mbsdec, strncat, malloc, free, _purecall, ctime, fprintf, fflush, ftell, rename, memcpy, _iob, vfprintf, fopen, _unlink, _ftime, _strnicmp, memcmp, strrchr, _setmbcp, _snprintf, _mbslwr, strcpy, strlen, _errno, sprintf, _mbsrchr, __CxxFrameHandler, _mbsicmp, __3@YAXPAX@Z, strcat, strcmp, _rmdir, toupper, _ultoa, strncmp, _findnext, remove, strncpy, strstr, _findclose, __2@YAPAXI@Z, _chmod, _findfirst, _stricmp, fclose
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: ReleaseMutex, GetModuleHandleA, GetFileType, PeekNamedPipe, GetFileTime, GetFileSize, RemoveDirectoryA, LocalFree, OpenMutexA, Sleep, lstrlenW, WideCharToMultiByte, GetTickCount, MultiByteToWideChar, CreateDirectoryA, MoveFileExA, GetWindowsDirectoryA, GetCurrentThread, GetPrivateProfileSectionNamesA, GetPrivateProfileStringA, GetPrivateProfileSectionA, SetLastError, ExpandEnvironmentStringsA, GetEnvironmentVariableA, SetEnvironmentVariableA, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetCurrentProcess, OpenProcess, TerminateProcess, GetSystemDirectoryA, WritePrivateProfileStringA, lstrcmpA, GetTempPathA, LoadLibraryExA, GetFileAttributesA, DeleteFileA, CopyFileA, GetLocaleInfoA, SetFileAttributesA, lstrcatA, SleepEx, FindResourceA, LoadResource, SearchPathA, GetShortPathNameA, GetModuleFileNameA, GetStartupInfoA, CreateProcessA, LoadLibraryA, GetProcAddress, FreeLibrary, CloseHandle, CreateMutexA, lstrlenA, GetLastError, lstrcpyA, GetVersionExA, WaitForSingleObject
> USER32.dll: GetClassNameA, SendMessageTimeoutA, FindWindowA, EnumWindows, GetLastActivePopup, IsWindow, PostMessageA, ExitWindowsEx, IsIconic, GetClientRect, DrawIcon, MessageBoxA, SystemParametersInfoA, UpdateWindow, KillTimer, SendMessageA, SetTimer, EnableWindow, LoadIconA, MsgWaitForMultipleObjects, PeekMessageA, GetSystemMetrics, DispatchMessageA, TranslateMessage, LoadStringA
> ADVAPI32.dll: RegEnumKeyA, RegDeleteKeyA, RegFlushKey, GetServiceKeyNameA, OpenSCManagerA, CloseServiceHandle, LookupPrivilegeValueA, AdjustTokenPrivileges, GetUserNameA, RegSetValueExA, RegEnumValueA, RegCloseKey, RegCreateKeyExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenProcessToken, RegDeleteValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
> ole32.dll: CoTaskMemFree, CoUninitialize, StringFromCLSID, CLSIDFromProgID, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -

( 2 exports )
GetUninstallerPath, RemoveUnusedVersions

13. C:\WINDOWS\system32\67F8008A2B.dll

File size: 80 bytes
MD5...: 1b9ac0a42a9256cc8bfac837ce569f51
SHA1..: 2f14766c1ceb64bf31cda7b2ced7a3f1b2e7bec1
SHA256: bacefa143c7359ee0948f52e2dc02bdf8c96c3d15389e7d24891ba463f34a315
SHA512: 463b8256bd09973be9951736d43d0c28e0ad1eebf6e07ad2f45304af6fc67a57
009ef5de88a14b7b2dfa30e232a69c47ab3768a133e8e0808d0d01e291e36bb3
PEiD..: -
PEInfo: -

14. C:\WINDOWS\system32\Drivers\BRGSp50.sys

File size: 20608 bytes
MD5...: ee0f41fa0466189a2c8b9caf7d1cddd5
SHA1..: 01b95b4363154572ef3f64c1a55da79e3eb5e425
SHA256: 961681493d76c604d978710fd6b6d4a44fd418eaa57cbd0bcc7cf66d9b1d51bf
SHA512: ed0072253cf116a5d83c5e33c2713300dec1eae69e3c750ad650d74a7a11cd8a
24c6441aab6552985d1eac7cb15092c009d243c795002d124e9cf6a1d8fd0d8d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ac6
timedatestamp.....: 0x42a6cc01 (Wed Jun 08 10:44:17 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x371c 0x3780 6.46 ef0bb505120cc98acd12907fd19b68f1
.rdata 0x3c00 0x284 0x300 4.27 9f9e5e97336a9ce5276f1ed6bb81e363
.data 0x3f00 0xe4 0x100 2.48 137021afc166ed97de01d2e653221156
INIT 0x4000 0x86c 0x880 5.14 99ffea6f9a29b1d378b0199decad373a
.rsrc 0x4880 0x3c8 0x400 3.28 8290c18651404d63a1825683fdba17ee
.reloc 0x4c80 0x3ca 0x400 5.60 8470bc84da5d6f7db45a0fdd01a7e307

( 3 imports )
> ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, KeInitializeDpc, KeInitializeTimerEx, KeInitializeEvent, KeWaitForSingleObject, KeResetEvent, RtlEqualUnicodeString, KeSetEvent, KeSetTimerEx, KeCancelTimer, ProbeForRead, MmUnlockPages, IoAllocateMdl, MmProbeAndLockPages, IoFreeMdl, ExInterlockedAddLargeStatistic, MmMapLockedPagesSpecifyCache, _except_handler3, InterlockedExchange, DbgPrint, IoReleaseCancelSpinLock, IofCompleteRequest, IoIsWdmVersionAvailable, IoCreateDevice, IoDeleteDevice, RtlAppendUnicodeToString, ExAllocatePoolWithTag, RtlQueryRegistryValues, ExFreePool, IoCreateSymbolicLink, IoDeleteSymbolicLink
> HAL.dll: KeQueryPerformanceCounter, KeGetCurrentIrql
> NDIS.SYS: NdisResetEvent, NdisOpenAdapter, NdisWaitEvent, NdisCompleteBindAdapter, NdisAllocatePacketPool, NdisAllocateBufferPool, NdisInitializeEvent, NdisCloseAdapter, NdisSetEvent, NdisInterlockedDecrement, NdisInterlockedIncrement, NdisFreeSpinLock, NdisFreeBufferPool, NdisFreePacketPool, NdisInitAnsiString, NdisUnicodeStringToAnsiString, NdisGetReceivedPacket, NdisInterlockedRemoveHeadList, NdisAdjustBufferLength, NdisAllocatePacket, NdisAllocateBuffer, NdisTransferData, NdisDprAcquireSpinLock, NdisDprReleaseSpinLock, NdisGetCurrentSystemTime, NdisInterlockedInsertTailList, NdisAcquireSpinLock, NdisReleaseSpinLock, NdisSend, NdisQueryBufferOffset, NdisGetSystemUpTime, NdisRequest, NdisDeregisterProtocol, NdisFreeMemory, NdisInitUnicodeString, NdisUpcaseUnicodeString, NdisAllocateMemoryWithTag, NdisRegisterProtocol, NdisAllocateSpinLock, NdisFreePacket, NdisFreeBuffer, NdisUnchainBufferAtFront, NDIS_BUFFER_TO_SPAN_PAGES

( 0 exports )

UncleDoc

23.05.2008 22:23

14. C:\WINDOWS\system32\DRIVERS\Wcgo phal.sys

0 bytes size received / Se ha recibido un archivo vacio

15. C:\WINDOWS\system32\DRIVERS\Wcgopvid.sys

File size: 91077 bytes
MD5...: f8c766432069333fc21e7e4a647a0596
SHA1..: b86a4ba8e25f53f68ce7c55cf4226a4d50c0a10f
SHA256: 8195dba2f3d8de2b8a982bd46643e9c3a8183f4f6987c0aae596b27c3f071797
SHA512: 186428aff851f85ce0975318747c7dd986f44fb84b95d0db834bf083761f6991
fa219600104dd27a54d7d878a019acbd1dcc8d1cf4a3df4d291906c85df2d5f5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1077c
timedatestamp.....: 0x3c3a6569 (Tue Jan 08 03:20:09 2002)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2e0 0xd9b4 0xd9c0 6.63 2380705103725d4cabfa31091d7fa62d
.rdata 0xdca0 0x99c 0x9a0 1.89 aad3a2a4ae4ddbfd4ef7be39d80bd537
.data 0xe640 0x6318 0x6320 3.45 7ac62e3dd4cc22996bacc29f3f3ca097
PAGECONS 0x14960 0x80 0x80 5.24 de4af32b141e09bdd09cf567a093373a
INIT 0x149e0 0x5fe 0x600 5.33 9d104def0f6f590962ec728fd7cb0664
.rsrc 0x14fe0 0x410 0x420 3.27 f23d9fd2794d55878bb5473f5d0313d4
.reloc 0x15400 0xf7c 0xf80 6.42 71a0f69474600ff001395598327c86c9

( 4 imports )
> ntoskrnl.exe: IoGetDeviceInterfaces, KeQuerySystemTime, _allmul, KeResetEvent, ObfDereferenceObject, ObReferenceObjectByHandle, RtlQueryRegistryValues, DbgPrint, KeInitializeSemaphore, KeSetTimer, KeInitializeDpc, KeInitializeTimer, KeCancelTimer, IoFreeIrp, IoCancelIrp, IoInitializeIrp, KeInitializeEvent, RtlCompareMemory, IoBuildDeviceIoControlRequest, ZwClose, IoOpenDeviceRegistryKey, ZwOpenKey, PsTerminateSystemThread, ZwLoadDriver, IoGetDeviceObjectPointer, MmMapLockedPages, MmProbeAndLockPages, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, IoFreeMdl, MmUnlockPages, RtlAppendUnicodeToString, RtlWriteRegistryValue, ExAllocatePoolWithTag, KeSetEvent, KeWaitForSingleObject, IoSetDeviceInterfaceState, ExFreePool, PsCreateSystemThread, RtlInitUnicodeString, ZwQueryValueKey, ZwEnumerateKey, IoAllocateIrp, IofCallDriver
> HAL.dll: KfLowerIrql, KfRaiseIrql, KeGetCurrentIrql, KeStallExecutionProcessor
> STREAM.SYS: StreamClassDeviceNotification
> USBCAMD.SYS: USBCAMD_GetRegistryKeyValue, USBCAMD_SelectAlternateInterface, USBCAMD_DriverEntry, USBCAMD_AdapterReceivePacket, USBCAMD_ControlVendorCommand

16. C:\WINDOWS\system32\DRIVERS\WEMFX_AT.SYS

File size: 33536 bytes
MD5...: 25407685d7e10104ea7b8113bd2361f7
SHA1..: 16958e040e913897278c4fee6d7d3f7f244386bd
SHA256: 7bdb4b85f2fe5acff2ad628ceb27cc7140bf4520c0e599ff8bb4393df003ede3
SHA512: c5dbed7666aa82fc9e3c2aeb89ff9f75d3cc7f69d624fd9e54b8261bf7c2eec8
a101289c8e60a122797361e8814e8b0afc77910276c7c15e1c62a5c7a1dd499c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x105f8
timedatestamp.....: 0x41b541da (Tue Dec 07 05:38:34 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x6bf4 0x6c00 6.52 9e2fde9de8aa70cc54c92d3e4ad82f44
.rdata 0x6f00 0x1b4 0x200 3.92 60a4988d39dd4f1b56360a07e507ca3c
.data 0x7100 0x4c 0x80 1.15 13189e52ef213f0a732f1fe9902e51df
INIT 0x7180 0x700 0x700 5.20 a2c3d32a6eaea4285672947c829d84f7
.rsrc 0x7880 0x408 0x480 3.14 0f37bd67512a255430bb7dbb98e2e557
.reloc 0x7d00 0x600 0x600 6.22 6ac9fd9d4d043696f1aa26b3939f65ea

( 3 imports )
> ntoskrnl.exe: IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoInitializeTimer, KeInitializeSpinLock, IoAttachDeviceToDeviceStack, IoCreateDevice, IofCompleteRequest, _wcsnicmp, wcslen, PoRegisterDeviceForIdleDetection, IoStopTimer, IoDetachDevice, ExFreePool, IoDeleteDevice, KeSetEvent, InterlockedDecrement, ObfReferenceObject, ExAllocatePoolWithTag, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, ZwClose, IoOpenDeviceRegistryKey, IoStartTimer, PoCallDriver, PoStartNextPowerIrp, RtlInitString, IoStartNextPacket, KeClearEvent, InterlockedIncrement, ExQueueWorkItem, IoStartPacket, IoCancelIrp, IoBuildSynchronousFsdRequest, IoReleaseCancelSpinLock, InterlockedExchange, IoAcquireCancelSpinLock, KeRemoveEntryDeviceQueue, ZwQueryValueKey, ZwSetValueKey, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, memmove, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoBuildPartialMdl, RtlInitUnicodeString, RtlUnicodeStringToAnsiString, RtlFreeUnicodeString, IoAllocateIrp, KeInitializeEvent, IofCallDriver, KeWaitForSingleObject, PoRequestPowerIrp, IoFreeIrp, _except_handler3
> HAL.dll: KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock, KfLowerIrql
> USBD.SYS: USBD_GetUSBDIVersion, _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28

18. 0 bytes size received / Se ha recibido un archivo vacio

BataAlexander

24.05.2008 02:47

Das CF Log ist ok, poste ein neues HJT Log.

Was für Email- Sammelprog ist denn zu empfehlen...?!
Und was mach ich jetzt wegen, mit den anderen Prog.´s wie cCleaner, SuperAntiSpyware, Malewarebytes...usw???!!
Hab schon 2 * gefragt....

eMail: Thunderbird, Eudora ggf. Outlook
SASW und MBAM sind OnDemand Scanner, die nur nach Bedarf scannen und nicht dauerhaft aktiv sind. Sie können daher im System verbleiben.
Zum Rest Deiner Anwednungen habe ich mich schon geäußert.
Bei derartiger Nutzung, ist es kein Wunder das Du derartige Probleme hast.

Wie idt der Status jetzt?

UncleDoc

24.05.2008 15:13

Na das sind ja mal schöne Nachrichten, das mal was OKay ist !! :daumenhoc

Hab die restlichen deinstall und das ich Probleme hatte, ist doch nicht auf die Prog. zu führen. Die musste ich ja für die Viren und Maleware- bekämpfung laden.

Aber denke jetz passt´s !

Mein Status jetz, ist perfekt, keinerlei Meldungen mehr...
ABER...soll/ kann ich Antivir als permanenten Sacnner laufen lassen oder welches bietet sich eher?

Und was ist mit SpyBot, hatte ich ja auch ?!

Hier die neue HJT Log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

BataAlexander

24.05.2008 15:24

Meines Erachtens kannst Du diese Programme auf dem Rechner lassen (Spybot, MBAM SASW), sie laufen wie gesagt nicht aktiv mit (außer dem SDHelper und dem Teatimer, wenn aktiviert).
Die in meinen Augen kritischen Programme sind Deine torrent Tools. Sicher kann man damit auch ganz schön legale Downloads bekommen, aber die haben nicht derartige Auswirkungen aus das System.
Wenn jetzt alles ok, ist dann gut.
Dies noch:

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

UncleDoc

24.05.2008 16:00

Alles klar, weis ich Bescheid.

Was für Torrent Tools, hab gar keine drauf...zumindest nicht bewusst !
Wie find ich das raus??

Und noch was, immer wenn ein Download beendet ist, kommt diese Meldung:

"Die CRC- Summe von NOTIFIER.EXE wurde verändert ! Dies könnte von einem Virus verursacht worden sein ! "

Was mach ich damit??
gibts ne Lösung...??

BataAlexander

24.05.2008 16:03

Zitat:

- emule
- Tor / Vidalia
- limewire

Diese

Aktualisiere Antivir, stelle es ein wie hier beschrieben und führe einen Systemscan durch. Das Log kannst Du dann hier posten.

UncleDoc

24.05.2008 18:53

Bin der Beschreibung gefolgt, hier die Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 24. Mai 2008 18:01

Es wird nach 1286440 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: CHEF

Versionsinformationen:
BUILD.DAT : 8.1.00.296 16479 Bytes 29.04.2008 10:47:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 24.05.2008 15:59:21
AVSCAN.DLL : 8.1.1.0 57601 Bytes 24.05.2008 15:59:21
LUKE.DLL : 8.1.2.9 151809 Bytes 24.05.2008 15:59:22
LUKERES.DLL : 8.1.2.0 12545 Bytes 24.05.2008 15:59:22
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 15:59:22
ANTIVIR2.VDF : 7.0.4.53 1848832 Bytes 17.05.2008 15:59:22
ANTIVIR3.VDF : 7.0.4.86 158720 Bytes 24.05.2008 15:59:22
Engineversion : 8.1.0.46
AEVDF.DLL : 8.1.0.5 102772 Bytes 24.05.2008 15:59:22
AESCRIPT.DLL : 8.1.0.33 266618 Bytes 24.05.2008 15:59:22
AESCN.DLL : 8.1.0.18 119156 Bytes 24.05.2008 15:59:22
AERDL.DLL : 8.1.0.20 418165 Bytes 24.05.2008 15:59:22
AEPACK.DLL : 8.1.1.5 364918 Bytes 24.05.2008 15:59:22
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 24.05.2008 15:59:22
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 24.05.2008 15:59:22
AEHELP.DLL : 8.1.0.14 115063 Bytes 24.05.2008 15:59:22
AEGEN.DLL : 8.1.0.21 303477 Bytes 24.05.2008 15:59:22
AEEMU.DLL : 8.1.0.6 430451 Bytes 24.05.2008 15:59:22
AECORE.DLL : 8.1.0.29 168311 Bytes 24.05.2008 15:59:22
AVWINLL.DLL : 1.0.0.7 14593 Bytes 24.05.2008 15:59:21
AVPREF.DLL : 8.0.0.1 25857 Bytes 24.05.2008 15:59:21
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 24.05.2008 15:59:21
AVARKT.DLL : 1.0.0.23 307457 Bytes 24.05.2008 15:59:21
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 24.05.2008 15:59:21
SQLITE3.DLL : 3.3.17.1 339968 Bytes 24.05.2008 15:59:22
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 24.05.2008 15:59:22
NETNT.DLL : 8.0.0.1 7937 Bytes 24.05.2008 15:59:22
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 24.05.2008 15:59:19
RCTEXT.DLL : 8.0.32.0 86273 Bytes 24.05.2008 15:59:19

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, G:, H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 24. Mai 2008 18:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPointII.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2 Surf Box mini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WEMbg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '37' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Uncle Doc\Desktop\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48993d49.qua' verschoben!
C:\Dokumente und Einstellungen\Uncle Doc\Lokale Einstellungen\temp\nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aa3dbe.qua' verschoben!
C:\Programme\Trend Micro\HijackThis\this.com.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a14665.qua' verschoben!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd9597.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'G:\' <SPD5110CC>
Beginne mit der Suche in 'H:\' <UncleDoc>
H:\Treiber\Security\SmitfraudFix.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.92
H:\Treiber\Security\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a15581.qua' verschoben!
H:\Treiber\Security\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489a557a.qua' verschoben!
H:\Treiber\Security\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ab557a.qua' verschoben!

Ende des Suchlaufs: Samstag, 24. Mai 2008 19:49
Benötigte Zeit: 1:47:46 min

Der Suchlauf wurde vollständig durchgeführt.

9602 Verzeichnisse wurden überprüft
534581 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
534574 Dateien ohne Befall
4979 Archive wurden durchsucht
4 Warnungen
6 Hinweise

Die Funde hab ich in Quarantäne gesteckt.
Muss ich mit denen oder allg. was machen auch wegen der Downloadmeldung?!

BataAlexander

24.05.2008 19:04

Alles in Ordnung, die Funde sind normal, sie kommen von den benutzten Tools.

Downloadmeldung? Wegen des Notifiers?
Konnte ich in dem Log nichts sehen.
Welches Programm bringt die Meldung denn? Avira selbst? Betrifft das jeden Download?

UncleDoc

24.05.2008 20:05

Ja, immer wenn ich einen Download beende, was er auch regulär macht bringt er mir die Meldung!

Wie bekomm ich denn ein Bild hier rein??

Ja vom Notifier kommt die Meldung,also schon von Antivir, ich kann alles laden aber die Meldung kommt eben auch immer...!

BataAlexander

24.05.2008 20:20

Du hast unten den Button "Anhänge verwalten" da mal draufklicken.
Dann das Bild einfügen.
Oder es bei einem Hoster wie File-Upload.net - Ihr kostenloser File Hoster! nutzen und den Link hier posten.

UncleDoc

25.05.2008 10:36

So schauts aus wenn ein Download beendet ist...

File-Upload.net - Ihr kostenloser File Hoster!

Grüße

BataAlexander

25.05.2008 10:50

Bitte Deinstalliere Antivir und spiele es erneut auf. Prüfe ob die Fehlermeldung dann immer noch kommt.

Bitte dann mit folgenden Programmen ein Log File erstellen.

Dr. Web Curit

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

UncleDoc

27.05.2008 12:42

Antivir deinstall und install !

Dr. Web Curit Log:

mzccntrl.exe c:\programme\gemeinsame dateien\marmiko shared Adware.Msearch.origin
Silent Runners.vbs C:\Dokumente und Einstellungen\Uncle Doc\Eigene Dateien möglicherweise BATCH.Virus
SetupDTSB.exe C:\Programme\DAEMON Tools Adware.SaveNow
MZCCntrl.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared Adware.Msearch.origin
MetacafeOutlookAddIn.dll C:\Programme\Metacafe Trojan.Click.origin Nicht desinfizierbar.Verschoben.
A0000209.dll C:\System Volume Information\_restore{3D22FBFD-8F6A-486D-8FB8-B57FB15CB05F}\RP4 Trojan.Click.origin Nicht desinfizierbar.Verschoben.
_desktop.ini H:\Filme\Porn\Fishnet Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Filme\Porn\Triebe Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Neu Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Neu\_Werbung Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Neu\_Werbung\adidas spots Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Neu\_Werbung\Mediamarkt-werbung Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Neu\_Werbung\nike spots Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Neu\_Werbung\Pix Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\Werbungen Win32.HLLW.Gavir.ini Gelöscht.
_desktop.ini H:\Jokes\__radiopannen__ Win32.HLLW.Gavir.ini Gelöscht.
Process.exe H:\Treiber\Security\SmitfraudFix Tool.Prockill

UncleDoc

27.05.2008 21:14

Soweit wie ich jetz sagen kann, kam keine Downloadvirenmeldung mehr !!
Mal sehen.

sarscan.log Inhalt:

Sophos Anti-Rootkit Version 1.3.1 (data 1.08) (c) 2006 Sophos Plc
Started logging on 27.05.2008 at 22:03:38
Hidden: registry item \HKEY_USERS\S-1-5-18\Printers\DevModePerUser\Adobe PDF
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012005120320051204
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Devices\Adobe PDF
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\Adobe PDF
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Hidden: registry item \HKEY_USERS\S-1-5-18\Software\NVIDIA Corporation\Global\NVTweak\State
Stopped logging on 27.05.2008 at 22:11:20

Danke Grüße:)

BataAlexander

27.05.2008 21:46

Sieht alles gut aus, Kleinigkeiten.
Wie ist das Befinden Deines Rechners?

UncleDoc

28.05.2008 18:49

Also doch nichts, Fehlermeldung kommt doch.
Die nach Downloads...aber wenn es keine Konsequenz hat, passt es ja.

Wie das Befinden ist???
Wie muss ich das denn verstehen, ihm geht es soweit gut...!!
Kein Fieber :Boogie:

Aber was willste denn wissen?
Macht keine Zicken mehr.

UncleDoc

01.07.2008 07:23

Hallo,

jetzt war ja ne ganze Weile Ruhe, hab mal wieder einen Systemscan mit Antivir gemacht, der hatte mir da was angezeigt. hab mal unser Prog. druchlaufen lassen. Wenn jemand mal gucken kann, ob da was auffällig ist, wäre nett.

Vielen Dank

Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

undoreal

01.07.2008 08:30

Bata ist krank daher springe ich mal ein.

Konfiguriere AntiVir aggressiv, wechsel in den abgesicherten Modus und führ dort einen Vollscan durch.

Poste das log.

UncleDoc

03.07.2008 18:21

hab umgstellt...
Log Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 3. Juli 2008 16:38

Es wird nach 1376780 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: CHEF

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:25:04
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 16:25:08
ANTIVIR3.VDF : 7.0.5.45 115712 Bytes 03.07.2008 14:35:58
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 03.07.2008 14:36:17
AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 15:40:26
AERDL.DLL : 8.1.0.20 418165 Bytes 27.05.2008 11:41:45
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 15:40:24
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 15:40:19
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 03.07.2008 14:36:14
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 11:40:29
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 15:40:04
AEEMU.DLL : 8.1.0.6 430451 Bytes 27.05.2008 11:41:15
AECORE.DLL : 8.1.0.32 168311 Bytes 03.07.2008 14:36:01
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 3. Juli 2008 16:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '60340' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPointII.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2 Surf Box mini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '30' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd9597.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'H:\' <UncleDoc>
H:\Spiele\Crysis\Crack, Keygen & Dt. Sprachpaket\Keygen.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.ZNC
[HINWEIS] Die Datei wurde gelöscht.
H:\System Volume Information\_restore{3D22FBFD-8F6A-486D-8FB8-B57FB15CB05F}\RP28\A0003714.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.ZNC
[HINWEIS] Die Datei wurde gelöscht.
H:\Treiber\Download\CryptLoad_1.1.0.rar
[0] Archivtyp: RAR
--> router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde gelöscht.
H:\Treiber\laden\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Donnerstag, 3. Juli 2008 19:20
Benötigte Zeit: 2:41:57 min

Der Suchlauf wurde vollständig durchgeführt.

10150 Verzeichnisse wurden überprüft
633528 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
633524 Dateien ohne Befall
5733 Archive wurden durchsucht
4 Warnungen
4 Hinweise
60340 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

BataAlexander

05.07.2008 16:36

Zitat:

H:\Spiele\Crysis\Crack, Keygen & Dt. Sprachpaket\Keygen.exe

Hier kann Dir keiner helfen. Arbeite an Dir selbst um zukünftige Infektionen zu vermeiden.
EOS

UncleDoc

06.07.2008 11:04

Was denn der Key-Gen hat mir Probleme verursacht?!
Okay, na gut und nun, was hat es jetz für Folgen auf dem System?

Lg Chrids

undoreal

07.07.2008 14:44

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

UncleDoc

10.07.2008 15:23

Bevor ich mit den ganzen Schritten los legen kann, der Link für bmr.exe funzt nicht, kommt nur ne 64 kb Verknüpfung oder so...

Hab einfach mal GMER 1.0.14.14205 geladen ist das auch okay?

Alle Zeitangaben in WEZ +1. Es ist jetzt 20:09 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131