Trojaner-Board - Virus Programm braucht ewig zum laden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus Programm braucht ewig zum laden (https://www.trojaner-board.de/68242-virus-programm-braucht-ewig-laden.html)

Virus Programm braucht ewig zum laden

Hallo, Ich bin neu hier und hatte vor c.a. einer woche noch den Virus Vundo drauf und habe mir ersteinmal selbst geholfen und ihn auch entfernen können.

ich benutze:

-Sygate personal firewall
-McAfee
-realtek HD audio driver

und wenn ich meinen PC hochfahre braucht er ewig lange bis er mal McAfee startet. Der CPU und Speicher sind ganz gering nur ausgelastet und mein PC startet zu erst Sygae personal firewall dann Audio driver und als letztes McAfee und erst wenn McAfee gestartet ist kann ich ins internet. :schmoll:
kann man den vorgang irgentwie beschleunigen oder unwichtige prozesse rausnehmen?

Ich hoffe ihr könnt mir helfen .
LG Darkshoot

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:46, on 07.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\McAfee\MBK\McAfeeDataBackup.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htp://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [McAfee Backup] "C:\Programme\McAfee\MBK\McAfeeDataBackup.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [zedopufude] Rundll32.exe "C:\WINDOWS\system32\kevidobi.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: htp://*.update.microsoft.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - htp://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222429747359
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - htp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - htp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{175D51CC-EB13-4D0A-946C-CCD84DB404B9}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - AppInit_DLLs: c:\windows\system32\ c:\windows\system32\fopihofu.dll ,
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware\aawservice.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing)
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7848 bytes

Hallo und :hallo:

Klick auf Editieren und ändere alle http in htp. Dann kann dir geholfen werden.

ciao, andreas

Danke für deine schnelle antwort Andreas,

habe jetzt alle HTTP in HTP verändert ....

LG Jan

Gut gemacht. :)

Ich seh gerade, du kommst aus Hamburg. Moin moin.

Zitat:

Hallo, Ich bin neu hier und hatte vor c.a. einer woche noch den Virus Vundo drauf und habe mir ersteinmal selbst geholfen und ihn auch entfernen können.

Das ist leider falsch. Er ist noch da oder schon wieder.

Arbeite diese Liste ab:

0.) Deinstalliere Ad-Aware (Start=>Systemsteuerung=>Software)

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\kevidobi.dll

c:\windows\system32\fopihofu.dll

Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) Superantispyware runterladen und laufenlassen, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

So habe sie nun Doch gefunden aber unter völlig falscher adresse und in einem archiv,

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\RecoveryVirtumondeprx5.zip = kevidobi

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\RecoveryVirtumondeprx1.zip = fopihofu

weiß auch nicht wieso das dort ist ?-..-? soll ich sie trotzdem auf virus total untersuchen lassen?

LG Jan @ Hamburg :D

Überspringe den Punkt und mache mit der Liste weiter. Falls du keine Verbindung zum Internet benötigst, z.B. bei den Scans, dann trenne die Verbindung zum Internet.

ciao, andreas

Edit zu deinem Edit: Nö. Überspringe den Punkt und mache mit der Liste weiter.

So ich habe hier einmal den logfile womit ich damals den virus weg bekommen habe:

Code:

Malwarebytes' Anti-Malware 1.31

Datenbank Version: 1599

Windows 5.1.2600 Service Pack 3
 

03.01.2009 11:05:20

mbam-log-2009-01-03 (11-05-20).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 132673

Laufzeit: 45 minute(s), 42 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 4

Infizierte Registrierungsschlüssel: 7

Infizierte Registrierungswerte: 5

Infizierte Dateiobjekte der Registrierung: 5

Infizierte Verzeichnisse: 0

Infizierte Dateien: 13
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\system32\lavejipu.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\tiwedihu.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\vusunifo.dll (Trojan.Vundo.H) -> Delete on reboot.

c:\WINDOWS\system32\fusigoka.dll (Trojan.Vundo.H) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{defcbb44-555c-4c3a-9bfd-55f793e1b8bf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{defcbb44-555c-4c3a-9bfd-55f793e1b8bf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{defcbb44-555c-4c3a-9bfd-55f793e1b8bf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\14b71c54 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zedopufude (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm17842fc8 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\lavejipu.dll -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\lavejipu.dll  -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\lavejipu.dll -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\fusigoka.dll -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\fusigoka.dll -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\tiwedihu.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\uhidewit.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tiyebuki.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ikubeyit.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\fusigoka.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\vusunifo.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\lavejipu.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\mivalivo.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tarekalu.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tizuluke.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\pebapehe.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\pegatijo.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\JRB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HQ5ZPTUB\style[1] (Trojan.Vundo) -> Quarantined and deleted successfully.

dann hier den heutigen scan von Blacklight

Code:

01/08/09 13:37:05 [Info]: BlackLight Engine 2.2.1092 initialized

01/08/09 13:37:05 [Info]: OS: 5.1 build 2600 (Service Pack 3)

01/08/09 13:37:05 [Note]: 7019 4

01/08/09 13:37:05 [Note]: 7005 0

01/08/09 13:37:13 [Note]: 7006 0

01/08/09 13:37:13 [Note]: 7011 748

01/08/09 13:37:13 [Note]: 7035 0

01/08/09 13:37:13 [Note]: 7026 0

01/08/09 13:37:13 [Note]: 7026 0

01/08/09 13:37:15 [Note]: FSRAW library version 1.7.1024

01/08/09 13:38:44 [Note]: 2000 1012

01/08/09 13:39:31 [Note]: 7007 0

und der maleware scann von heute

Code:

Malwarebytes' Anti-Malware 1.31

Datenbank Version: 1599

Windows 5.1.2600 Service Pack 3
 

08.01.2009 14:06:40

mbam-log-2009-01-08 (14-06-40).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 121001

Laufzeit: 23 minute(s), 19 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

LG Jan

so und hier nochmal der scan von super anti spyware :

Code:

SUPERAntiSpyware Scan Log

htp://www.superantispyware.com
 

Generated 01/08/2009 at 03:02 PM
 

Application Version : 4.24.1004
 

Core Rules Database Version : 3700

Trace Rules Database Version: 1676
 

Scan type       : Complete Scan

Total Scan Time : 00:44:35
 

Memory items scanned      : 432

Memory threats detected   : 0

Registry items scanned    : 6374

Registry threats detected : 1

File items scanned        : 73821

File threats detected     : 9
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@advanced-anti-virus-scanner[1].txt

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@media6degrees[2].txt

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@windowsmedia[2].txt

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@gotoyourclicks[2].txt

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@adsrv.admediate[2].txt

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@msnportal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\JRB\Cookies\jrb@webmasterplan[1].txt
 

Trojan.Fake-Alert/Trace

        HKU\S-1-5-21-842925246-606747145-839522115-1003\SOFTWARE\Microsoft\fias4013
 

Adware.Vundo Variant/ACE

        C:\WINDOWS\SYSTEM32\VASIDIFU.DLL
 

Trojan.Gen

        C:\WINDOWS\UNIFISH3.EXE

so und nun das logfile vom Combofix ! :

Code:

ComboFix 09-01-07.02 - JRB 2009-01-08 15:37:38.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2047.1617 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\JRB\Desktop\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
 
 

Weitere Löschungen   
 
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system32\Mlkf.dll
 

----- BITS: Eventuell infizierte Webseiten -----
 

hxxp://77.74.48.105

.

Dateien erstellt von 2008-12-08 bis 2009-01-08

.
 

2009-01-08 15:25 . 2009-01-08 15:25        <DIR>        d--------        c:\programme\CCleaner

2009-01-08 14:15 . 2009-01-08 14:15        <DIR>        d--------        c:\programme\SUPERAntiSpyware

2009-01-08 14:15 . 2009-01-08 14:15        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\SUPERAntiSpyware.com

2009-01-08 14:15 . 2009-01-08 14:15        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2009-01-03 10:00 . 2009-01-03 10:00        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-01-03 10:00 . 2009-01-03 10:00        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\Malwarebytes

2009-01-03 10:00 . 2009-01-03 10:00        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-01-03 10:00 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-03 10:00 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-01-02 17:22 . 2008-04-14 06:52        15,360        --a------        c:\windows\system32\ctfmon.exe.backup

2009-01-02 16:58 . 2009-01-02 17:14        <DIR>        d--------        c:\programme\Exterminate It!

2009-01-02 13:59 . 2009-01-02 13:59        95        --a------        c:\windows\wininit.ini

2009-01-01 23:35 . 2008-12-25 08:00        67,826,994        --a------        c:\windows\Counter strike 1.6.exe

2008-12-30 13:20 . 2008-12-30 13:21        <DIR>        d--------        c:\programme\PantsOff

2008-12-26 12:08 . 2007-04-10 22:46        202,088        -ra------        c:\windows\system32\LCCoin14.dll

2008-12-26 12:08 . 2008-04-14 00:15        60,032        --a------        c:\windows\system32\drivers\USBAUDIO.sys

2008-12-26 12:08 . 2008-04-14 00:15        60,032        --a--c---        c:\windows\system32\dllcache\usbaudio.sys

2008-12-26 12:07 . 2007-04-10 22:46        1,966,696        -ra------        c:\windows\system32\drivers\VX3000.sys

2008-12-26 12:07 . 2007-04-10 22:46        709,992        -ra------        c:\windows\vVX3000.exe

2008-12-26 12:07 . 2007-04-10 22:46        476,520        -ra------        c:\windows\vVX3000.dll

2008-12-26 12:07 . 2007-04-10 22:46        185,704        -ra------        c:\windows\system32\cVX3000.dll

2008-12-26 12:07 . 2007-04-10 22:46        116,072        -ra------        c:\windows\VX3000.dll

2008-12-26 12:07 . 2007-04-10 22:46        15,498        -ra------        c:\windows\VX3000.ini

2008-12-26 12:07 . 2007-04-10 22:46        13,023        -ra------        c:\windows\VX3000.src

2008-12-26 11:59 . 2008-12-26 12:01        <DIR>        d--------        c:\programme\Microsoft LifeCam

2008-12-25 10:22 . 2008-12-25 11:00        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\U3

2008-12-24 21:28 . 2008-12-24 21:28        <DIR>        d--------        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore

2008-12-24 20:41 . 2008-12-24 22:02        <DIR>        d--------        c:\programme\SiteAdvisor

2008-12-24 20:41 . 2008-12-24 20:41        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor

2008-12-24 20:39 . 2009-01-08 15:38        11,185        --a------        c:\windows\system32\Config.MPF

2008-12-24 18:54 . 2008-12-24 18:54        <DIR>        d--------        c:\programme\DAEMON Tools Lite

2008-12-22 16:53 . 2008-12-24 20:34        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\Spybot - Search & Destroy

2008-12-22 14:52 . 2008-12-22 14:52        <DIR>        dr-h-----        c:\dokumente und einstellungen\JRB\Anwendungsdaten\SecuROM

2008-12-22 13:31 . 2008-05-30 14:11        1,491,992        --a------        c:\windows\system32\D3DCompiler_38.dll

2008-12-22 13:31 . 2008-03-05 15:56        1,420,824        --a------        c:\windows\system32\D3DCompiler_37.dll

2008-12-22 13:31 . 2008-05-30 14:19        507,400        --a------        c:\windows\system32\XAudio2_1.dll

2008-12-22 13:31 . 2008-03-05 16:03        479,752        --a------        c:\windows\system32\XAudio2_0.dll

2008-12-22 13:31 . 2008-05-30 14:18        238,088        --a------        c:\windows\system32\xactengine3_1.dll

2008-12-22 13:31 . 2008-03-05 16:03        238,088        --a------        c:\windows\system32\xactengine3_0.dll

2008-12-22 13:31 . 2008-05-30 14:17        65,032        --a------        c:\windows\system32\XAPOFX1_0.dll

2008-12-22 13:31 . 2008-05-30 14:17        25,608        --a------        c:\windows\system32\X3DAudio1_4.dll

2008-12-22 13:31 . 2008-03-05 16:00        25,608        --a------        c:\windows\system32\X3DAudio1_3.dll

2008-12-22 13:30 . 2008-12-22 13:30        <DIR>        d--------        c:\windows\Logs

2008-12-22 13:25 . 2008-12-22 13:25        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\DAEMON Tools Pro

2008-12-22 13:24 . 2008-12-22 13:24        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite

2008-12-22 13:23 . 2008-12-22 13:25        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\DAEMON Tools Lite

2008-12-22 11:01 . 2008-12-22 14:49        <DIR>        d--------        c:\dokumente und einstellungen\JRB\Anwendungsdaten\Hamachi

2008-12-22 11:00 . 2008-12-22 11:01        <DIR>        d--------        c:\programme\Hamachi

2008-12-22 11:00 . 2008-12-22 11:00        25,280        --a------        c:\windows\system32\drivers\hamachi.sys

2008-12-17 22:02 . 2008-12-17 22:08        <DIR>        d--------        c:\programme\Veetle

2008-12-17 22:02 . 2008-12-17 22:02        48,396        --a------        c:\windows\UninstVeetleTVPlayer.exe

2008-12-10 17:54 . 2008-12-10 17:54        <DIR>        d--------        c:\programme\MSECache
 
 

Find3M Bericht
 

2009-01-08 14:28        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-01-08 13:14        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-01-07 16:19        ---------        d-----w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\dvdcss

2009-01-07 13:55        ---------        d-----w        c:\programme\DivX

2008-12-26 09:41        ---------        d-----w        c:\programme\McAfee

2008-12-25 08:57        ---------        d-----w        c:\programme\Spybot - Search & Destroy

2008-12-24 19:44        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

2008-12-23 18:35        ---------        d-----w        c:\programme\TuneUp Utilities 2008

2008-12-23 17:43        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania

2008-12-22 15:52        ---------        d-----w        c:\programme\Google

2008-12-22 12:27        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-12-22 12:25        ---------        d-----w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\DAEMON Tools

2008-12-10 20:43        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp

2008-11-30 16:09        ---------        d-----w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\vlc

2008-11-27 14:31        ---------        d-----w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\gtk-2.0

2008-11-26 21:04        ---------        d-----w        c:\programme\GIMP-2.0

2008-11-26 20:27        ---------        d-----w        c:\programme\AV VCS 3.0

2008-11-21 14:46        138,184        ----a-w        c:\windows\system32\drivers\PnkBstrK.sys

2008-11-19 21:53        ---------        d-----w        c:\programme\Microsoft Silverlight

2008-11-19 21:16        ---------        d-----w        c:\programme\Gemeinsame Dateien\CyberLink

2008-11-19 21:15        ---------        d-----w        c:\programme\CyberLink

2008-11-19 18:59        ---------        d-----w        c:\programme\JEDISware

2008-11-19 16:04        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink

2008-11-19 13:56        ---------        d-----w        c:\programme\KGB Archiver

2008-11-17 19:54        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia

2008-11-17 19:52        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield

2008-11-17 19:49        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield

2008-11-14 06:04        ---------        d-----w        c:\programme\Unlocker

2008-11-12 21:30        22,328        ----a-w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\PnkBstrK.sys

2008-11-12 21:30        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft

2008-11-12 21:16        717,296        ----a-w        c:\windows\system32\drivers\sptd.sys

2008-11-10 20:31        0        ---ha-w        c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2008-11-10 20:31        0        ---ha-w        c:\windows\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf

2008-11-10 20:26        21,672        ----a-w        c:\windows\system32\drivers\ggsemc.sys

2008-11-10 20:26        13,352        ----a-w        c:\windows\system32\drivers\ggflt.sys

2008-11-10 20:25        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson

2008-11-10 20:24        ---------        d-----w        c:\programme\Sony Ericsson

2008-11-10 15:10        ---------        d-----w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\Mis archivos de La Batalla por la Tierra Media

2008-10-27 19:58        2,889        ----a-w        c:\programme\Gemeinsame Dateien\unins000.dat

2008-10-27 19:57        731,142        ----a-w        c:\programme\Gemeinsame Dateien\unins000.exe

2008-10-13 11:32        1,697,280        ----a-w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\winexpl.exe

2008-09-26 17:40        236        ----a-w        c:\dokumente und einstellungen\JRB\Anwendungsdaten\shedl.bat

.
 

------- Sigcheck -------
 

2004-08-03 23:57  15360  7ce20569925df6789c31799f0c538f29        c:\windows\$NtServicePackUninstall$\ctfmon.exe

2009-01-02 17:22  24064  c3a2915c71ae6f225eb906c25ccd29b5        c:\windows\ServicePackFiles\i386\ctfmon.exe

2009-01-02 17:22  24064  c3a2915c71ae6f225eb906c25ccd29b5        c:\windows\system32\ctfmon.exe

.

Autostartpunkte der Registrierung

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-22 1830128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"mcagent_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2008-07-11 641208]

"McENUI"="c:\progra~1\McAfee\MHN\McENUI.exe" [2008-06-13 1176808]

"McAfee Backup"="c:\programme\McAfee\MBK\McAfeeDataBackup.exe" [2008-07-10 5129504]

"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]

"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 c:\windows\RTHDCPL.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2009-01-02 24064]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dienst-Manager.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Dienst-Manager.lnk

backup=c:\windows\pss\Dienst-Manager.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk

backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]

--a------ 2008-06-27 16:50 91432 c:\programme\CyberLink\Shared Files\brs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

--a------ 2008-12-10 10:02 216520 c:\programme\DAEMON Tools Lite\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2005-05-11 22:12 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]

--a------ 2007-05-17 22:45 279912 c:\programme\Microsoft LifeCam\LifeExp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 14:40 155648 c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2008-10-07 12:33 86016 c:\windows\system32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]

--------- 2007-12-14 11:36 50472 c:\programme\CyberLink\PowerDVD8\Language\Language.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]

--------- 2008-03-20 20:23 83240 c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

--a------ 2008-05-02 05:15 15872 c:\programme\Unlocker\UnlockerAssistant.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]

-ra------ 2007-04-10 22:46 709992 c:\windows\vVX3000.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

--------- 2008-04-14 06:53 110592 c:\windows\system32\bthprops.cpl
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Spiele\\Warcraft III\\war3.exe"=

"c:\\Spiele\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"c:\\Spiele\\TmNationsForever\\TmForever.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Spiele\\TacticalOps\\System\\TacticalOps.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Spiele\\EA GAMES\\Battlefield 2\\BF2.exe"=

"c:\\Spiele\\Warcraft III\\Warcraft III.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Spiele\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=

"c:\\Spiele\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=

"c:\\Programme\\Hamachi\\hamachi.exe"=

"c:\\Spiele\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Spiele\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Spiele\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=

"c:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Programme\\McAfee\\VirusScan\\Mcshield.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6112:TCP"= 6112:TCP:Battelnet
 

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024]

R3 SaiH8000;SaiH8000;c:\windows\system32\drivers\SaiH8000.sys [2004-07-30 56576]

R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408]

R4 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\CyberLink\PowerDVD8\000.fcl [2008-06-27 16:50:32 61424]

R4 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-12-24 206096]

R4 Vcs;Vcs support;c:\windows\system32\drivers\Vcs.sys [2008-09-26 6852]

S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-30 33752]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [2008-11-10 13352]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]

S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [2005-02-24 162176]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ce48a12-d261-11dd-8b7f-0019664efa61}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69f17006-b0ff-11dd-8b46-0019664efa61}]

\Shell\AutoRun\command - E:\autorun.exe

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-14 c:\windows\Tasks\McDefragTask.job

- c:\programme\mcafee\mqc\QcConsol.exe [2008-07-09 18:10]
 

2008-09-26 c:\windows\Tasks\McQcTask.job

- c:\programme\mcafee\mqc\QcConsol.exe [2008-07-09 18:10]
 

2008-12-26 c:\windows\Tasks\Microsoft_Hardware_Launch_setup_exe.job

- D:\setup.exe []
 

2008-12-26 c:\windows\Tasks\Microsoft_Hardware_Launch_vVX3000_exe.job

- c:\windows\vVX3000.exe [2007-04-10 22:46]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-14b71c54 - c:\windows\system32\tiyebuki.dll

MSConfigStartUp-CPM17842fc8 - c:\windows\system32\vasidifu.dll

MSConfigStartUp-DAEMON Tools - c:\programme\DAEMON Tools\daemon.exe

MSConfigStartUp-zedopufude - c:\windows\system32\kevidobi.dll
 
 

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {175D51CC-EB13-4D0A-946C-CCD84DB404B9} = 213.191.74.19 62.109.123.197

FF - ProfilePath - c:\dokumente und einstellungen\JRB\Anwendungsdaten\Mozilla\Firefox\Profiles\90dda6c2.default\

FF - plugin: c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
 

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-08 15:42:27

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]

"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"

.

--------------------- LOCKED REGISTRY KEYS ---------------------
 

[HKEY_USERS\S-1-5-21-842925246-606747145-839522115-1003\Software\SecuROM\License information*NULL*]

"datasecu"=hex:e3,58,4e,33,a2,0b,50,7c,66,38,e4,47,ef,a6,da,ae,eb,66,df,b6,92,\

  dc,39,f9,c1,39,59,5d,e1,ec,b8,ac,88,ad,69,1b,1e,43,cd,13,29,49,34,a2,7a,72,\

  fc,1c,ab,10,5f,44,ae,28,be,71,08,8b,26,35,9a,2f,0c,dc,ea,b0,ab,a7,00,5e,d2,\

  7c,ae,d0,7b,2a,58,2e,de,dc,74,82,d7,53,ef,90,6f,c3,e0,a2,5e,ff,3f,c4,28,b5,\

  38,7b,66,24,2b,f9,95,31,17,82,ff,ce,8a,dd,86,0c,e0,c0,fa,ab,96,e3,f9,b0,1c,\

  72,cd,ed,ea,8e,f5,b9,f7,31,16,81,ef,6a,ec,db,51,c5,25,f2,1b,a8,f9,c1,1f,1b,\

  b7,c3,6a,72,ed,30,84,28,ef,e7,ad,c7,43,83,95,c5,3d,9e,8e,c7,8a,6f,61,b0,37,\

  89,4a,76,d2,eb,85,57,4f,44,f4,4f,84,a3,db,28,57,dd,1b,7e,35,f4,73,ca,95,ba,\

  e1,e9,69,f8,42,05,f0,1a,5b,17,cd,b2,60,43,e5,69,a8,6d,47,36,b9,8d,45,ae,7b,\

  61,b4,9e,ab,d4,b3,63,83,c3,b6,cd,20,c7,a3,94,df,56,9c,54,99,77,2a,8f,f1,d2,\

  35,74,4d,ae,d5,df,41,30,8b,55,76,e0,eb,c2,14,93,cc,7b,40,b5,05,de,67,29,a4,\

  ae,5d,98,76,0a,b3,4b,d6,bf,05,f7,cf,b1,75,d6,46,f2,69,23,bf,9f,88,ae,36,fa,\

  ed,1e,a3,15,59,df,de,83,a8,d2,59,11,6a,a4,4d,08,97,86,74,c2,8d,a6,d1,c3,74,\

  2c,3f,3d,92,37,1a,e2,5a,9c,30,03,02,7f,7c,cf,32,da,cb,7b,e0,46,2d,84,1d,34,\

  92,97,a8,b7,68,22,5b,32,48,40,85,b4,93,b1,b9,ee,ab,c8,34,a1,e2,63,c7,d6,d6,\

  f2,fb,04,7e,1f,19,02,f2,d1,19,b3,9c,b8,18,9f,21,6f,5a,df,af,8c,f2,2b,2e,aa,\

  63,97,46,33,27,b2,a1,b6,e8,ca,66,68,c4,39,46,e6,1f,d6,08,5d,db,9e,09,a1,48,\

  e8,6b,d4,42,92,af,83,5c,6b,00,ff,b1,82,0e,df,ca,ab,15,ba,41,a6,7d,8e,6d,d2,\

  ed,07,07,fa,55,12,4a,a8,cd,25,81,57,44,f8,e1,0e,8c,23,88,d3,b1,29,26,a4,93,\

  22,ed,55,31,38,39,32,ea,7b,8d,c0,4c,4c,06,fe,4c,5d,83,42,39,ba,d7,32,81,b5,\

  6b,a7,dc,a9,7c,23,30,55,e6,5f,46,87,f4,a5,ef,23,61,76,8e,ff,82,7b,54,70,35,\

  c0,c0,07,ea,fb,2d,c8,02,e4,e0,2c,89,c0,3f,df,e3,fd,0d,6c,80,a7,4a,0e,bf,31,\

  bc,bd,66,dc,96,e0,97,3b,84,b7,ee,c3,0f,cb,9b,6e,75,65,c9,91,89,94,e6,4e,02,\

  f1,12,07,ae,ba,d5,27,3f,98,da,50,22,3b,de,0d,45,e7,ce,1b,09,7d,4e,10,79,58,\

  d0,87,81,e7,3b,33,9b,52,df,df,18,56,a4,94,90,a0,57,dd,d9,ab,94,1e,a0,44,04,\

  48,b7,d9,af,8f,04,41,00,4d,b8,af,db,14,82,30,1f,16,a0,a3,54,ec,03,60,ef,b0,\

  98,01,f7,42,b6,bc,37,b1,95,c9,3b,0b,58,ef,2e,13,9f,66,e7,9c,81,2e,41,fa,7e,\

  5b,d0,87,37,56,e5,66,3c,c9,e2,61,d7,6f,6f,26,94,85,17,3a,6d,ce,9c,07,26,2c,\

  b0,cb,42,76,6b,bc,00,f1,4a,af,32,c2,d4,9a,65,70,64,49,c5,2e,bf,07,24,e3,90,\

  c1,99,04,a5,f0,80,d2,6f,42,25,6c,bc,e9,4e,04,42,36,49,6f,91,81,65,ce,9a,0b,\

  e1,be,dc,c5,21,dc,49,bb,53,8f,ad,fb,d1,7d,c3,4a,e5,c3,5b,56,01,55,9c,d2,5b,\

  b4,30,29,d6,8c,e5,b7,59,ba,60,70,01,54,67,45,f9,ab,df,3a,99,59,cb,8a,4f,0b,\

  4b,63,c5,89,a7,4e,e5,b6,69,c6,1e,20,c3,31,b3,21,02,f0,06,2a,e5,9b,f9,88,5d,\

  fa,79,3b,5a,e5,19,a2,3d,9c,f0,a7,46,50,5e,94,2c,1a,f0,b8,0a,9f,c8,42,d0,c5,\

  18,95,f6,01,0f,08,5c,dd,d0,c8,f3,87,d1,66,5b,d4,d5,99,a2,70,e7,39,57,9f,11,\

  29,29,f7,6f,83,85,ec,b8,61,c3,af,a5,4f,e9,89,60,df,6b,46,55,f2,de,81,4c,5a,\

  98,4b,b6,85,91,2a,3d,87,00,3f,3f,ee,06,73

"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*NULL*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(896)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Sygate\SPF\Smc.exe

c:\progra~1\McAfee\MSC\mcmscsvc.exe

c:\programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe

c:\progra~1\GEMEIN~1\McAfee\McProxy\McProxy.exe

c:\programme\McAfee\VirusScan\Mcshield.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\programme\McAfee\MPF\MpfSrv.exe

c:\programme\Microsoft LifeCam\MSCamS32.exe

c:\programme\McAfee\MSK\msksrver.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\HPZipm12.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PAStiSvc.exe

c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-01-08 15:44:38 - PC wurde neu gestartet [JRB]

ComboFix-quarantined-files.txt  2009-01-08 14:44:35
 

Vor Suchlauf: 16 Verzeichnis(se), 332,919,451,648 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 332,818,849,792 Bytes frei
 

353        --- E O F ---        2008-12-19 15:22:35

so und der letzte highjack log :

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:54:35, on 08.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\McAfee\SiteAdvisor\McSACore.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\McAfee.com\Agent\mcagent.exe

C:\Programme\McAfee\MBK\McAfeeDataBackup.exe

c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\McAfee\VirusScan\McShield.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\McAfee\MPF\MPFSrv.exe

C:\Programme\Microsoft LifeCam\MSCamS32.exe

C:\Programme\McAfee\MSK\MskSrver.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\WINDOWS\explorer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\JRB\Desktop\qlketzd.com
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htp://windowsupdate.microsoft.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide

O4 - HKLM\..\Run: [McAfee Backup] "C:\Programme\McAfee\MBK\McAfeeDataBackup.exe"

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - ESC Trusted Zone: htp://*.update.microsoft.com

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - htp://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222429747359

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - htp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - htp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{175D51CC-EB13-4D0A-946C-CCD84DB404B9}: NameServer = 213.191.74.19 62.109.123.197

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing)

O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe

O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 7475 bytes

1.) Lass folgende Datei bei Virustotal auswerten:

Code:

C:\WINDOWS\system32\FM20ENU.DLL

2.) Deinstalliere Superantispyware.

3.) GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

so er hat bei keinem virus scanner ein ergebnis bekommen, hier trotzdem die zusätzlichen informationen:

Code:

weitere Informationen

File size: 35440 bytes

MD5...: 35c4aee0b4742b1ee00a68d9743b818f

SHA1..: d7b2aec3cccb089fb0b1befe2f371255d18137bd

SHA256: 6b207e59186f061232a7adbdc8dfe66d09c05d3f820c2d679943a1cfc7fd9593

SHA512: 362fa39549959000300dd69cc0a962e0f493591149ca80c3f4fcfeaa29af3f67

5edc9fb43c9955d0d90be1f2991432757b6eae779879e89c56dd80875534882a

ssdeep: 384:veOWJ8Y6WhyYSwyuRjhuFNczJCoWOKguEznhu1jRaeWTFP:WXFyPwyuRjTCo

WOKE1u1jRaeqP

PEiD..: -

TrID..: File type identification

Win16/32 Executable Delphi generic (33.9%)

Generic Win/DOS Executable (32.7%)

DOS Executable Generic (32.7%)

VXD Driver (0.5%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x70000000

timedatestamp.....: 0x460082ac (Wed Mar 21 00:56:12 2007)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.rdata 0x1000 0x70 0x200 0.40 4ffbc0f3f4f1845d3947234e806199ee

.rsrc 0x2000 0x5b18 0x5c00 3.75 4f68301bf8ca5566376f0243aace9a32

.reloc 0x8000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee
 

( 0 imports )
 

( 0 exports )

War zu erwarten, wollte nur sichergehen.

ciao, andreas

So kann den log leider nicht posten weil er über 100 tausend zeichen hat und man darf nur 25 tausend haben .... was nun?

außerdem kam diese Fehlermeldung:

http://www.bilder-upload.eu/thumb/m0IWi98No7XScZe.JPG

Lade es bei irgendeinem Filehoster (rapidshare.de, www.file-upload.net, ...) hoch und poste den Link.

ciao, andreas

Edit zu deinem Edit: :eek:

So habe es geuploadet

http://www.file-upload.net/download-1366655/gmerlog.txt.html

LG Jan

Fehlalarm, er springt auf McAfee an. Hast du SuperAntiSpyware wirklich deinstalliert? Da sind noch Einträge. Ansonsten bist du sauber.

Dein ursprüngliches Problem war Performance, dauert zu lange bis Internet kommt. Ist dem noch immer so?

ciao, andreas

öhm, habe superantispyware ganz normal bei Systemsteuerung->Software->Deinstallieren

und dann hat er noch gefragt von wegen alle logs löschen habe ich auch noch ja gemacht weil ich selber kopien habe

und ich bin sofort wieder da ich gucke eben wegen internet ob das jetzt alles schnell läuft

bis gleich Jan

So, habe immernoch das problem er startet in der taskleiste sygate und den audio driver von realtek und dann passiert ne zeit lang nix und dann startet er irgendwann mcafee und dann auch die lan verbindungen

Ergänzung: Und kannst du mir vielleicht beantworten wieso der cpu und der speicher kaum ausgelastet sind? eignetlich müßten die doch arbeiten wenn sie die programme am anfang starten oder?

LG Jan

Als Vorbereitung verweise ich an die Tipps vom Kompetenzteam:
http://www.trojaner-board.de/68096-w...tml#post403959 (alles ab dem Punkt Treibersuche)

Dann rate ich dringend zur Deinstallation der Sygate personal firewall. PFWs sind sinnfrei und reine Verschwendung von Ressourcen. Benutze die Windowseigene.

Zitat:

Ergänzung: Und kannst du mir vielleicht beantworten wieso der cpu und der speicher kaum ausgelastet sind? eignetlich müßten die doch arbeiten wenn sie die programme am anfang starten oder?

Es gibt einige Prozesse, die auf bestimmte Ereignisse warten. Nur als ein Beispiel DHCP. Falls du die Option IP automatisch beziehen aktiviert hast, es aber keinen DHCP-Server gibt, dann vergehen ca. 20 Sekunden, in der sämtliche IPs nach DHCP-Servern abgesucht werden.

In der Zeit passiert mit der CPU und dem Ram gar nichts. Netzwerkaktivität ist am Limit, aber davon siehst du normalerweise nichts.

Entrümpele. Wirf alles raus, was nicht unbedingt notwendig ist. Von McAfee halte ich persönlich überhaupt nichts. Teste doch einmal Avira, ob das nicht bedeutend schneller ist.

ciao, andreas

Jop vielen dank für deine Hilfe !!!!!

Liebe grüße Jan