Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   AntiMalware kan nicht geöffnet werden, System stürzt ab und nfach geöffnet (https://www.trojaner-board.de/68100-antimalware-kan-geoeffnet-system-stuerzt-ab-nfach-geoeffnet.html)

Bernerspasti 06.01.2009 13:36
AntiMalware kan nicht geöffnet werden, System stürzt ab und nfach geöffnet
 
AntiMalware kan nicht geöffnet werden, System stürzt ab und Website werden einfach geöffnet

Moin Trojaner-board user :D

Ich habe seit Tagen mit diversen Viren zu kämpfen und nachdem ich mit Ad-Adware und Avira keinen Erfolg hatte, hab ich mich aufgrund meiner guten Erfahrungen mit diesem Board entschlossen hier zu posten.
Manche Seiten sind mit meinem PC unerreichbar ebenso diese Seite.
Mit jedem anderen PC hingegen schon. Aber der Virus kam immer wieder.
Es öffnet sich immer Browserfenster ohne Inhalt, aber mit dem Namen "sagispul" (o.ä.) oder irgendwelchen ip's.
Und Updates konnte ich immer noch nicht downloaden (hab die Browser- und Programmeinstellungen überprüft. Daran liegt es nicht). AntiMalware wird geblockt, ich kann dieses Programm nicht ausführen.
Schein in letzter Zeit kein unbekanntes Problem zu sein.

Immer wenn ich meinen Rechner starten will ist der bei der Passworteingabe bzw nach Laden des Desktops immer wieder abgestürzt ohne Fehlermeldung.

HiJack-This konnte ich auf der offizielen Seite nicht herunterladen, musste auf Chip gehen.

HiJack-This Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:18, on 05.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [449b448e] rundll32.exe "C:\WINDOWS\system32\qrttriop.dll",b
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217700909015
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: aqzknx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9091 bytes
Ich bedanke mich euch shcon im Voraus, weil ich jetzt in die Schule muss.

Lg

Bernerspasti 07.01.2009 12:37
Brauche wirklich Hilfe, über Mittag startet der Computer ohne Probleme, aber Abends, da geht's nicht mehr

undoreal 07.01.2009 13:59
Halli hallo.

Du saugst illegal aus dem Netz. Solche Dateien sind fast immer mit Viren verseucht vor denen dich kein AV-Prog schützen kann.

Du solltest den Rechner neuaufsetzen und dich danach vorsichtiger im www bewegen...

Bernerspasti 07.01.2009 14:34
Danke, gibt es aber noch eine andere Möglichkeit als den Computer neu aufzusetzen?

undoreal 07.01.2009 14:42
Gibt es. Ist aber nicht sonderlich empfehlenswert.. ;)

Fixe mit HJT folgende Einträge:
Zitat:
C:\Programme\DNA\btdna.exe
C:\Programme\LimeWire\LimeWire.exe
O4 - HKLM\..\Run: [449b448e] rundll32.exe "C:\WINDOWS\system32\qrttriop.dll",b
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O20 - AppInit_DLLs: aqzknx.dll


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
C:\WINDOWS\system32\qrttriop.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\qrttriop.dll
C:\WINDOWS\system32\aqzknx.dll
C:\Programme\DNA\btdna.exe
C:\Programme\LimeWire\LimeWire.exe

Folders to delete:
C:\Programme\DNA
C:\Programme\LimeWire
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Scanne den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.

Bernerspasti 07.01.2009 14:51
Da gibt es schon ein Problem, ich kann auf die Virustotal Seite nicht zugreifen!

undoreal 07.01.2009 14:54
Dann überspringe den Punkt einfach und mache weiter mit Avenger und Combofix.

Bernerspasti 07.01.2009 15:02
Kann auch nicht Avenger downloaden, weil ich auch nicht auf diese Seite zugreifen kann, sowie ComboFix.

undoreal 07.01.2009 15:18
Versuche CF von hier zu laden und poste das log:

http://www.forospyware.com/sUBs/ComboFix.exe

Bernerspasti 07.01.2009 16:17
Na endlich! ComboFix wurde ausgeführt, yeah *freu*.

ComboFix Logfile

Code:
ComboFix 08-12-28.03 -*** 2009-01-06 15:57:07.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.959.763 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix\CF123456.com

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\28463
c:\windows\system32\28463\VUYC.009.tmp
c:\windows\system32\crypts.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-12-06 bis 2009-01-06  ))))))))))))))))))))))))))))))
.

2009-01-05 19:10 . 2009-01-05 19:10        1,327,221        ---hs----        c:\windows\system32\aysurtte.ini
2009-01-05 19:10 . 2009-01-05 19:10        68,608        --a------        c:\windows\system32\ettrusya.dll
2009-01-05 19:09 . 2009-01-05 19:09        103,424        --a------        c:\windows\system32\wowpum.dll
2009-01-05 19:09 . 2009-01-05 19:09        103,424        --a------        c:\windows\system32\mjvfxixv.dll
2009-01-05 13:19 . 2009-01-05 13:19        <DIR>        d--------        c:\programme\Trend Micro
2009-01-04 18:10 . 2009-01-05 19:08        1,327,221        ---hs----        c:\windows\system32\poirttrq.ini
2009-01-04 18:07 . 2009-01-04 18:07        103,424        --a------        c:\windows\system32\mcclaxbf.dll
2009-01-04 18:07 . 2009-01-04 18:07        103,424        --a------        c:\windows\system32\aqzknx.dll
2009-01-03 18:06 . 2009-01-04 18:07        1,311,646        ---hs----        c:\windows\system32\rglcagjd.ini
2009-01-03 18:05 . 2009-01-03 18:05        103,936        --a------        c:\windows\system32\pytywnvs.dll
2009-01-03 18:05 . 2009-01-03 18:05        103,936        --a------        c:\windows\system32\frcqsw.dll
2009-01-03 18:03 . 2009-01-03 18:03        235,520        --a------        c:\windows\system32\hgGxVPFx.dll
2009-01-03 18:03 . 2009-01-06 16:14        195,222        --ahs----        c:\windows\system32\xFPVxGgh.ini
2009-01-03 18:03 . 2009-01-06 16:12        195,064        --ahs----        c:\windows\system32\xFPVxGgh.ini2
2009-01-03 17:58 . 2009-01-03 20:35        0        --a------        c:\windows\system32\drivers\396540b3.sys
2009-01-02 01:03 . 2009-01-03 18:07        2        --a------        C:\1151026209
2009-01-02 00:23 . 2009-01-02 00:26        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\NSeries
2009-01-02 00:23 . 2008-04-14 00:15        26,112        --a------        c:\windows\system32\drivers\usbser.sys
2009-01-02 00:23 . 2008-04-14 00:15        26,112        --a--c---        c:\windows\system32\dllcache\usbser.sys
2009-01-02 00:23 . 2009-01-02 00:23        0        --ah-----        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-01-02 00:23 . 2009-01-02 00:23        0        --ah-----        c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-01-02 00:22 . 2008-03-21 13:57        14,640        ---------        c:\windows\system32\spmsgXP_2k3.dll
2009-01-02 00:20 . 2008-09-15 07:29        1,112,288        --a------        c:\windows\system32\wdfcoinstaller01007.dll
2009-01-02 00:20 . 2008-09-15 07:56        659,968        --a------        c:\windows\system32\nmwcdcocls.dll
2009-01-02 00:20 . 2008-09-15 07:56        22,016        --a------        c:\windows\system32\drivers\ccdcmbo.sys
2009-01-02 00:20 . 2008-09-15 07:56        17,664        --a------        c:\windows\system32\drivers\ccdcmb.sys
2009-01-02 00:20 . 2008-09-15 07:56        8,064        --a------        c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-01-02 00:20 . 2008-09-15 07:56        8,064        --a------        c:\windows\system32\drivers\usbser_lowerflt.sys
2009-01-02 00:19 . 2009-01-02 00:19        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Nokia
2009-01-02 00:17 . 2009-01-02 00:17        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-02 00:06 . 2009-01-02 00:06        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2009-01-02 00:04 . 2009-01-02 00:07        <DIR>        d--------        c:\dokumente und einstellungen\Phong Le\Anwendungsdaten\Nokia
2009-01-02 00:04 . 2009-01-02 00:05        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-01-02 00:03 . 2009-01-02 00:03        <DIR>        d--------        c:\programme\Gemeinsame Dateien\PCSuite
2009-01-02 00:02 . 2009-01-02 00:02        <DIR>        d--------        c:\programme\PC Connectivity Solution
2009-01-02 00:02 . 2009-01-02 00:20        <DIR>        d--------        c:\programme\Nokia
2009-01-02 00:02 . 2009-01-02 00:02        <DIR>        d--------        c:\programme\DIFX
2009-01-02 00:02 . 2009-01-02 00:26        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\PC Suite
2009-01-02 00:02 . 2008-09-15 07:56        91,136        --a------        c:\windows\system32\nmwcdcls.dll
2008-12-30 02:19 . 2008-12-30 02:19        <DIR>        d--------        c:\programme\Defraggler
2008-12-28 19:48 . 2008-12-30 16:30        <DIR>        d--------        c:\windows\PaltalkScene
2008-12-28 19:48 . 2009-01-01 13:32        <DIR>        d--------        c:\programme\Paltalk Messenger
2008-12-28 19:48 . 2009-01-01 13:32        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Paltalk
2008-12-22 21:33 . 2008-12-24 14:05        <DIR>        d--------        c:\programme\Netlog Uploader
2008-12-13 12:18 . 2008-12-13 12:18        <DIR>        d--------        C:\Games
2008-12-06 10:01 . 2008-12-06 10:16        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Blizzard Entertainment

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 15:13        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-01-06 13:39        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\BitTorrent
2009-01-06 13:27        ---------        d-----w        c:\programme\Mozilla Thunderbird
2009-01-06 12:35        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-01-05 11:51        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\LimeWire
2008-12-30 19:03        ---------        d-----w        c:\programme\WarRock
2008-12-30 01:19        ---------        d-----w        c:\programme\CCleaner
2008-12-28 20:54        31        ----a-w        c:\dokumente und einstellungen\***\jagex_runescape_preferences.dat
2008-12-24 15:46        105,984        ----a-w        c:\windows\system32\c_dll.dll
2008-12-12 21:59        ---------        d-----w        c:\programme\Electronic Arts
2008-12-12 21:54        2,090        ----a-w        c:\windows\system32\ealregsnapshot1.reg
2008-12-12 18:04        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-12-12 11:38        ---------        d-----w        c:\programme\Java
2008-12-02 13:10        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-12-02 13:01        107,888        ----a-w        c:\windows\system32\CmdLineExt.dll
2008-12-02 12:52        22,328        ----a-w        c:\windows\system32\drivers\PnkBstrK.sys
2008-12-02 12:52        22,328        ----a-w        c:\dokumente und einstellungen\Phong Le\Anwendungsdaten\PnkBstrK.sys
2008-12-02 12:52        107,832        ----a-w        c:\windows\system32\PnkBstrB.exe
2008-12-02 12:51        2,250,024        ----a-w        c:\windows\system32\pbsvc.exe
2008-12-01 19:04        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-11-23 18:48        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield
2008-11-22 07:42        ---------        d-----w        c:\programme\Skype
2008-11-22 07:42        ---------        d-----w        c:\programme\Gemeinsame Dateien\Skype
2008-11-22 07:42        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-19 18:11        ---------        d-----w        c:\programme\Windows Live
2008-11-19 18:05        ---------        d-----w        c:\programme\Messenger Plus! Live
2008-11-19 12:15        ---------        d-----w        c:\programme\Microsoft
2008-11-19 12:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\Windows Live
2008-11-10 04:43        410,984        ----a-w        c:\windows\system32\deploytk.dll
2008-10-23 12:36        286,720        ----a-w        c:\windows\system32\gdi32.dll
2008-10-16 20:04        826,368        ----a-w        c:\windows\system32\wininet.dll
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 13:09        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\wups.dll
2008-10-16 13:06        268,648        ----a-w        c:\windows\system32\mucltui.dll
2008-10-16 13:06        208,744        ----a-w        c:\windows\system32\muweb.dll
2008-10-12 17:08        2,560        ----a-w        c:\windows\_MSRSTRT.EXE
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{348190D8-F3ED-485E-8204-A7A7A5341AC6}]
2009-01-03 18:03 235520        --a------        c:\windows\system32\hgGxVPFx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b29e3255-e072-4dd8-8224-1c8aa961675e}]
2009-01-05 19:09 103424        --a------        c:\windows\system32\wowpum.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\programme\Logitech\Video\ManifestEngine.exe" [2005-01-18 196608]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-11 39408]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2008-12-01 5724184]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-18 21633320]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2005-01-18 458752]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-09 185896]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NSLauncher"="c:\programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-09-07 3100672]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 c:\windows\RTHDCPL.exe]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages        REG_MULTI_SZ          msv1_0 c:\windows\system32\hgGxVPFx

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3325:UDP"= 3325:UDP:Windows Media Format SDK (firefox.exe)
"3324:UDP"= 3324:UDP:Windows Media Format SDK (firefox.exe)
"3350:UDP"= 3350:UDP:Windows Media Format SDK (firefox.exe)

S1 396540b3;396540b3;c:\windows\system32\drivers\396540b3.sys [2009-01-03 0]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-01 33752]
.
Inhalt des "geplante Tasks" Ordners

2009-01-06 c:\windows\Tasks\gndbgeij.job
- c:\windows\system32\rundll32.exe [2008-04-14 06:53]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-ddcCtrol - ddcCtrol.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\Phong Le\Anwendungsdaten\Mozilla\Firefox\Profiles\o2ekoav0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - 20min.ch
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10591&gct=&gc=1&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 16:14:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSrfdc.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(688)
c:\windows\system32\hgGxVPFx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\WgaTray.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-06 16:15:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-06 15:15:23

Vor Suchlauf: 15 Verzeichnis(se), 19'711'569'920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 19,700,682,752 Bytes frei

230        --- E O F ---        2008-12-18 12:30:39
Avenger Logfile

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath:  \systemroot\system32\drivers\TDSSrfdc.sys
Start Type:  1 (System)

Rootkit scan completed.


Error:  file "C:\WINDOWS\system32\qrttriop.dll" not found!
Deletion of file "C:\WINDOWS\system32\qrttriop.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\aqzknx.dll" not found!
Deletion of file "C:\WINDOWS\system32\aqzknx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\Programme\DNA\btdna.exe"
Deletion of file "C:\Programme\DNA\btdna.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\Programme\LimeWire\LimeWire.exe"
Deletion of file "C:\Programme\LimeWire\LimeWire.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "C:\Programme\DNA" not found!
Deletion of folder "C:\Programme\DNA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\LimeWire" not found!
Deletion of folder "C:\Programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Nun sieht so mein Logfile aus. Bitte um Überprüfung, ob alles jetzt OK ist.

HiJack-This Logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10:44, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217700909015
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7258 bytes
Was soll ich als nächstes tun?

Auf mein AntiMalware kann ich immer noch nicht zugreifen.

undoreal 07.01.2009 18:04
Setze bitte beim Avenger den Haken "Automatically disable any Rootkit found" und führe folgendes Skript aus:

Zitat:
Files to delete:
C:\WINDOWS\system32\qrttriop.dll
C:\WINDOWS\system32\aqzknx.dll
C:\Programme\DNA\btdna.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\system32\drivers\TDSSrfdc.sys


Folders to delete:
C:\Programme\DNA
C:\Programme\LimeWire


Panda AntiRootkit

  • Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
  • Starte die PAVARK.exe durch einen Doppelklick.
  • Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
  • Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
  • Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
    Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
  • Bereinige die Funde anschließend!



Blacklight


Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.


GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Bernerspasti 07.01.2009 18:50
Dankeee jetzt klappt eigentlich schon fast alles!

Nachdem CF funzt alles :D


Und da Avenger Logfile

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\qrttriop.dll" not found!
Deletion of file "C:\WINDOWS\system32\qrttriop.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\aqzknx.dll" not found!
Deletion of file "C:\WINDOWS\system32\aqzknx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\Programme\DNA\btdna.exe"
Deletion of file "C:\Programme\DNA\btdna.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\Programme\LimeWire\LimeWire.exe"
Deletion of file "C:\Programme\LimeWire\LimeWire.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "C:\WINDOWS\system32\drivers\TDSSrfdc.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSrfdc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\DNA" not found!
Deletion of folder "C:\Programme\DNA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\LimeWire" not found!
Deletion of folder "C:\Programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Jetzt werde ich noch die letzten Schritte die du im letzten Post gepostet hast befolgen!

undoreal 07.01.2009 18:55
Was ist in dem Ordner drinn?
Zitat:
C:\1151026209


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
c:\windows\system32\drivers\396540b3.sys
c:\windows\system32\spmsgXP_2k3.dll
c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
c:\windows\system32\wdfcoinstaller01007.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Bernerspasti 07.01.2009 19:05
Zitat:
Zitat von undoreal (Beitrag 404113)
Was ist in dem Ordner drinn?
LOl habe nachgeschaut, ist eine Textdatei und drin war nur "ok" gestanden XD

undoreal 07.01.2009 19:14
Hm, so lustig finde ich das garnicht.

Lösche den Ordner bitte.

Dann die online Überprüfunge und dann weiter mit SASW und MBA .

Bernerspasti 07.01.2009 19:17
Zitat:
Zitat von undoreal (Beitrag 404125)
Hm, so lustig finde ich das garnicht.

Lösche den Ordner bitte.

Dann die online Überprüfunge und dann weiter mit SASW und MBA .
Wie kann ich sie löschen? Wenn ich diese Datei aud der Suche-Balken schriebe und betätige. Komme ich direkt zu der Textdatei.

undoreal 07.01.2009 19:20
Lösche einfach den ganzen Ordner
Zitat:
C:\1151026209
Ordner markieren und #Entf# drücken. Mit "Ja" bestätigen. Papierkorb leeren.

Bernerspasti 07.01.2009 19:26
Zitat:
Zitat von undoreal (Beitrag 404131)
Lösche einfach den ganzen Ordner Ordner markieren und #Entf# drücken. Mit "Ja" bestätigen. Papierkorb leeren.
Danke habe ihn gelöscht!

Binjetzt gerade dabei die Dateien auf VL aufzuladen!

Bernerspasti 07.01.2009 19:37
Da sind die VL Logs!

c:\windows\system32\drivers\396540b3.sys

Code:
0 bytes size received / Se ha recibido un archivo vacio
c:\windows\system32\spmsgXP_2k3.dll

[code]Datei spmsgXP_2k3.dll empfangen 2009.01.07 19:23:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.07 -
AhnLab-V3 2009.1.8.0 2009.01.07 -
AntiVir 7.9.0.45 2009.01.07 -
Authentium 5.1.0.4 2009.01.07 -
Avast 4.8.1281.0 2009.01.07 -
AVG 8.0.0.199 2009.01.07 -
BitDefender 7.2 2009.01.07 -
CAT-QuickHeal 10.00 2009.01.06 -
ClamAV 0.94.1 2009.01.07 -
Comodo 891 2009.01.07 -
DrWeb 4.44.0.09170 2009.01.07 -
eSafe 7.0.17.0 2009.01.06 -
eTrust-Vet 31.6.6296 2009.01.07 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.07 -
F-Secure 8.0.14470.0 2009.01.07 -
Fortinet 3.117.0.0 2009.01.07 -
GData 19 2009.01.07 -
Ikarus T3.1.1.45.0 2009.01.07 -
K7AntiVirus 7.10.581 2009.01.07 -
Kaspersky 7.0.0.125 2009.01.07 -
McAfee 5487 2009.01.07 -
McAfee+Artemis 5487 2009.01.06 -
Microsoft 1.4205 2009.01.07 -
NOD32 3747 2009.01.07 -
Norman 5.99.02 2009.01.07 -
Panda 9.0.0.4 2009.01.07 -
PCTools 4.4.2.0 2009.01.07 -
Prevx1 V2 2009.01.07 -
Rising 21.11.22.00 2009.01.07 -
SecureWeb-Gateway 6.7.6 2009.01.07 -
Sophos 4.37.0 2009.01.07 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.07 -
TheHacker 6.3.1.4.210 2009.01.07 -
TrendMicro 8.700.0.1004 2009.01.07 -
VBA32 3.12.8.10 2009.01.07 -
ViRobot 2009.1.7.1548 2009.01.07 -
VirusBuster 4.5.11.0 2009.01.07 -
weitere Informationen
File size: 14640 bytes
MD5...: 066f7fcca265d01a5b7eaf41ade789b1
SHA1..: dcfd5d499c71f83d4a3b7026728ad79eeab13f89
SHA256: 93bb82eb2786708add9f1538283658ee949aa79e658196f0386ad88fb61320b1
SHA512: 7fa09d093df7bb95f52badc463123cef848dbc26e8da2a3e014289a41ecf273b
546182210e70f42c408f84d673f8811c74e142f9c60978a20f89f6b1d6d9acaf
ssdeep: 192:4W0boplW7QdvzVL/CldolMGoVOu39DKmHj78iCYsB:4W087W7QdvzVLCcM4a
eWHCbB
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10000000
timedatestamp.....: 0x45775589 (Wed Dec 06 23:43:05 2006)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1668 0x1800 3.38 58279958ae1f81ee5ecac45d4eb4be47
.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
[\code]

c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf

Code:
0 bytes size received / Se ha recibido un archivo vacio
c:\windows\system32\drivers\MsftWdf_Kernel_01007_C

Code:
0 bytes size received / Se ha recibido un archivo vacio
c:\windows\system32\wdfcoinstaller01007.dll

Code:
Datei wdfcoinstaller01007.dll empfangen 2009.01.07 19:30:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.07        -
AhnLab-V3        2009.1.8.0        2009.01.07        -
AntiVir        7.9.0.45        2009.01.07        -
Authentium        5.1.0.4        2009.01.07        -
Avast        4.8.1281.0        2009.01.07        -
CAT-QuickHeal        10.00        2009.01.06        -
ClamAV        0.94.1        2009.01.07        -
Comodo        891        2009.01.07        -
DrWeb        4.44.0.09170        2009.01.07        -
eSafe        7.0.17.0        2009.01.06        -
eTrust-Vet        31.6.6296        2009.01.07        -
Ewido        4.0        2008.12.31        -
F-Prot        4.4.4.56        2009.01.07        -
Fortinet        3.117.0.0        2009.01.07        -
GData        19        2009.01.07        -
Ikarus        T3.1.1.45.0        2009.01.07        -
K7AntiVirus        7.10.581        2009.01.07        -
Kaspersky        7.0.0.125        2009.01.07        -
McAfee        5487        2009.01.07        -
McAfee+Artemis        5487        2009.01.06        -
Microsoft        1.4205        2009.01.07        -
NOD32        3747        2009.01.07        -
Norman        5.99.02        2009.01.07        -
Panda        9.0.0.4        2009.01.07        -
PCTools        4.4.2.0        2009.01.07        -
Rising        21.11.22.00        2009.01.07        -
SecureWeb-Gateway        6.7.6        2009.01.07        -
Sophos        4.37.0        2009.01.07        -
Sunbelt        3.2.1809.2        2008.12.22        -
Symantec        10        2009.01.07        -
TheHacker        6.3.1.4.210        2009.01.07        -
TrendMicro        8.700.0.1004        2009.01.07        -
VBA32        3.12.8.10        2009.01.07        -
ViRobot        2009.1.7.1548        2009.01.07        -
VirusBuster        4.5.11.0        2009.01.07        -
weitere Informationen
File size: 1112288 bytes
MD5...: 81d9bcceb78795cd0315b24960f2d130
SHA1..: a697a3d09e3f9d0ee69df229d14e7e9ae671829b
SHA256: bcf6fbbdf1ad402dc761f87d79688c9b81aa70d63b835fc6618fc8e0686f39f4
SHA512: 0107bab9c18d5227dfc8734f27b7f9ce4ada9e9c79f85ef85bcb80ebfae593b7
d65a834ec3c3b50ef89a5f466eef98eb4ffddece907cb50f7261272b9482631c
ssdeep: 24576:lqP9bArz7F+ET/IbCLvipNz0hOERdNhpjdESl/T:yArvbaN9E7Nz+4
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x200cb82
timedatestamp.....: 0x47ec326b (Thu Mar 27 23:48:59 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd03c 0xd200 5.57 a0691ea9b701a6bc0b38dc9a1ac82be7
.data 0xf000 0x4784 0x400 5.83 9b856d09c84494d658edac3951989117
.rsrc 0x14000 0xfed04 0xfee00 8.00 96bbdc949105883318aca8f7c35ebb39
.reloc 0x113000 0xbac 0xc00 4.64 5b563e319cf9de10c5defac4ca646039

( 9 imports )
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _wcsnicmp, malloc, free, _wtoi, _wcsicmp, _ultow, _stricmp, memset, memcpy, _vsnwprintf
> SETUPAPI.dll: SetupCloseInfFile, SetupOpenInfFileW, SetupDiGetDriverInfoDetailW, SetupOpenLog, SetupLogErrorW, SetupCloseLog, CM_Set_DevNode_Problem_Ex, SetupDiGetDeviceInstallParamsW, SetupDiSetDeviceInstallParamsW, SetupPromptReboot, SetupDiGetActualSectionToInstallW, SetupGetLineCountW, SetupFindFirstLineW, SetupGetStringFieldW, SetupFindNextMatchLineW, SetupDiGetSelectedDriverW
> KERNEL32.dll: GetWindowsDirectoryW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, LoadLibraryExW, ExpandEnvironmentStringsW, CreateProcessW, WaitForSingleObject, TerminateProcess, GetExitCodeProcess, SetLastError, FindResourceW, LoadResource, LockResource, SizeofResource, WriteFile, RemoveDirectoryW, CreateDirectoryW, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CreateFileW, GetFileInformationByHandle, FileTimeToSystemTime, CloseHandle, FormatMessageW, GetLocalTime, OutputDebugStringW, LoadLibraryW, FreeLibrary, lstrlenA, WideCharToMultiByte, GetModuleFileNameW, LocalAlloc, LocalFree, GetLastError, GetProcAddress, GetModuleHandleW, GlobalFree, VerifyVersionInfoW, VerSetConditionMask
> ADVAPI32.dll: RegQueryValueExW, LockServiceDatabase, QueryServiceLockStatusW, ChangeServiceConfigW, UnlockServiceDatabase, QueryServiceConfigW, RegSetValueExW, RegFlushKey, RegCreateKeyExW, DeleteService, OpenSCManagerW, OpenServiceW, QueryServiceStatusEx, CloseServiceHandle, RegOpenKeyExW, RegCloseKey
> CRYPT32.dll: CertGetCertificateContextProperty
> WINTRUST.dll: WTHelperProvDataFromStateData, WTHelperGetProvSignerFromChain, WTHelperGetProvCertFromChain, WinVerifyTrust
> SHELL32.dll: CommandLineToArgvW
> USER32.dll: IsCharAlphaW, IsCharAlphaNumericW, LoadStringW
> ole32.dll: CoTaskMemFree

( 5 exports )
WdfCoInstaller, WdfPostDeviceInstall, WdfPostDeviceRemove, WdfPreDeviceInstall, WdfPreDeviceRemove
packers (Kaspersky): PE_Patch

undoreal 07.01.2009 19:43
Da verarscht uns einer am laufenden Band.

Ich kann dir hier nur wieder die dringende Empfehlung geben den Rechner platt zu machen!

Der Schädling wehrt sich heftig und hat mit Sicherheit Backdoor Fuktionen. Wenn der Autor bemerkt, dass wir ihm grade auf die Schliche kommen wird er Hintertüren in dein System einbauen die nur extrem schwer zu finden sind; teilweise sogar einfach unmöglich.

Das bedeutet, dass du dein System ab dem heutigen Tag an als nicht vertrauenswürdig einstufen musst. Da will man doch nicht jeden Tag vor sitzen oder?

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
c:\windows\system32\drivers\396540b3.sys
c:\windows\system32\spmsgXP_2k3.dll
c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf
c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf


Folders to delete:
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Den Avenger lasse ich nur nochmal laufen um evtl. zu verhindern, dass dir grade munter Daten gestohlen werden. Du solltest den Rechner physikalisch vom Internet trennen. Das bedeutet LAN-Stecker ziehen!


Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Bernerspasti 07.01.2009 20:27
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\396540b3.sys" deleted successfully.
File "c:\windows\system32\spmsgXP_2k3.dll" deleted successfully.

Error: file "c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf" not found!
Deletion of file "c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf" not found!
Deletion of file "c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:09 2009

20:21:09: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:16 2009

20:21:16: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:36 2009

20:21:36: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:44 2009

20:21:44: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:46 2009

20:21:46: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:00 2009

20:22:00: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:05 2009

20:22:05: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:11 2009

20:22:11: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate.

Bernerspasti 07.01.2009 20:35
Bei mir kommt kein Log nach der mbr.bat Datei.

undoreal 08.01.2009 01:03
Müsste auf dem Desktop bzw. dort liegen wo du die mbr.exe ausgeführt hast.

Bernerspasti 08.01.2009 18:39
Da ist bei mir nur das:

Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Bernerspasti 08.01.2009 19:00
http://img3.imagebanana.com/img/qqyi...6789__.bmp.png

Auf meinem Rechner finde Datei-Symbole die heller als andere sind, was bedeutet das?

Malwarebyets Log-File

Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1043
Windows 5.1.2600 Service Pack 3

19:01:14 08.01.2009
mbam-log-1-8-2009 (19-01-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 112006
Laufzeit: 35 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully.

undoreal 08.01.2009 20:35
Das sind versteckte Dateien.

Warum hast du immer noch nicht neuaufgesetzt? :confused:

Bernerspasti 08.01.2009 20:45
Zitat:
Zitat von undoreal (Beitrag 404379)
Das sind versteckte Dateien.

Warum hast du immer noch nicht neuaufgesetzt? :confused:
Ich habe keine Windows CD :S

Bernerspasti 08.01.2009 20:52
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
 
eScan Version: 10.0.60
Sprache: German
C:\DOKUME~1\***~1\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip/TDSSrfdc.sys infiziert durch den Virus "Backdoor.Win32.TDSS.bkw"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSStnyq.dll.vir infiziert durch den Virus "Rootkit.Win32.TDSS.dbg"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\frcqsw.dll.vir markiert als "not-a-virus:AdWare.Win32.SuperJuan.fsp". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\pytywnvs.dll.vir markiert als "not-a-virus:AdWare.Win32.SuperJuan.fsp". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programme\SUPERAntiSpyware\SASSEH.DLL
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
aawservice.exe - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
WgaTray.exe - "C:\WINDOWS\system32\WgaTray.exe"
explorer.exe - C:\WINDOWS\Explorer.EXE
firefox.exe - "C:\Programme\Mozilla Firefox\firefox.exe"
ctfmon.exe - ctfmon.exe
psi.exe - C:\Programme\Secunia\PSI\psi.exe --first-launch
msnmsgr.exe - "C:\Programme\Windows Live\Messenger\msnmsgr.exe"
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\***\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Desktop\mwav.exe
ERROR!!! Invalid Entry \SystemRoot\System32\drivers\396540b3.sys in HKLM\SYSTEM\CurrentControlSet\Services\396540b3. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in HKLM\SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\mbr.sys in HKLM\SYSTEM\CurrentControlSet\Services\mbr. Action Taken: No Action Taken.
ERROR(2)!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys...
ERROR(3)!!! ScanFile fails for C:\aa8eec9698e480eba23771\i386\apps_sp.ch_
ERROR(3)!!! ScanFile fails for C:\aa8eec9698e480eba23771\i386\root\cmpnents\netfx\i386\netfx.cab
Result: ERROR!!! File C:\Avenger\backup-07.01.2009-18.45.50.98.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-18.45.50.98.zip
Result: ERROR!!! File C:\Avenger\backup-07.01.2009-20.16.31.34.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-20.16.31.34.zip
Result: ERROR!!! File C:\Avenger\backup-07.01.2009-20.24.12.09.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-20.24.12.09.zip
Result: ERROR!!! File C:\Avenger\backup.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Avenger\backup.zip
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{59367F7E-D7C1-4629-8AEC-71AA24A68F31}\NokiaSoftwareUpdaterSetup_1.4.85DE.exe
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{59367F7E-D7C1-4629-8AEC-71AA24A68F31}\Packages\CCD\Setup\Nokia_Connectivity_Cable_Driver.msi
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\kis.de.msi
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent\So¨hne Mannheims Xavier Naidoo - Wettsingen in Schwetzingen (MTV Unplugged).torrent
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\o2ekoav0.default\places.sqlite-journal
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_03\jre1.6.0_03.msi
Result: ERROR!!! File C:\Dokumente und Einstellungen\Phong Le\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Desktop\mwav.exe
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\autoplay\autorun.cdd: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\autoplay\autorun.cdd
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\Support\DotNetRedist\dotnetfx.exe
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\Support\DotNetRedist\NetFx64.exe
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.com\SharingMetadata\***@hotmail.com\DFSR\Staging\CS{774F8449-18FB-D2A8-9313-449D4494083B}\01\10-{774F8449-18FB-D2A8-9313-449D4494083B}-v1
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-C\AccLR.cab
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-001B-0407-0000-0000000FF1CE}-C\WordLR.cab
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-C\InfLR.cab
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-C\OfficeLR.cab
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{91120000-0030-0000-0000-0000000FF1CE}-C\EnterrWW.cab
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\Programme\Gemeinsame Dateien\Microsoft Shared\VBA\VBA6\1031\VBLR6.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_03\lib\rt.jar
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_07\lib\rt.jar
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre6\lib\rt.jar
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office12\1031\XMLSDK5.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\Nokia\Connectivity Cable Driver\WdfCoInstaller01007.dll
ERROR(3)!!! ScanFile fails for C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc1.dll
Result: ERROR!!! File C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc2.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc2.zip
ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\apps_sp.chm
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Downloaded Installations\{35BF549A-60EB-43E2-8914-F33C0D7689E4}\Nokia Software Launcher.msi
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\driver.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\sp3.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Help\apps_sp.chm
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\netfx.msi
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\apps_sp.chm
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\sp3.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\edb.log
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\tmp.edb
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\drivers\sptd.sys
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\DRVSTORE\ccdcmb_BCC7B353E4C97600259A2CADE869842C38E1062D\wdfcoinstaller01007.dll
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1      localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 71403
Zahl der kritischen Objekte: 4
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 01:05:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Die Überprüfung der Ordner: Deaktiviert
 
Batchstart: 20:48:53.53
Batchende: 20:49:07.26

undoreal 10.01.2009 00:43
Zitat:
Ich habe keine Windows CD :S
Dann wirst du dir eine besorgen müssen.

Bernerspasti 10.01.2009 23:19
jaa dann kann dieser thread gelöschen werden

danke nochmals für alles


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131