Problem mit nem Trojaner?!
 

Guten Tag,

ich habe seit ein paar Tagen immer weider Fehlermeldungen von AntiVir indem mir gesagt wird das mein Laptop mit dem Trojaner:

senekarkndqovy.dll
TR/TDss.BG.20

befallen ist..

Die Fehlermeldung kommt täglich ca. 10 mal und dadrann änder sich nichts egal ob ich "Löschen", "Zugriff verweigern" oder sonstiges auswähle!

Seit kurzem kommt es auch öfters zum Bluescreen...
Wenn ich z.B. GTA IV spiele kommt nach einer kurzen Zeit immer ein Bluescreen!

Hier ist mein HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:53, on 10.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe
C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
D:\GTA VI\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HIjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] D:\GTA VI\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8323 bytes




Danke schonmal im Vorraus!!!!

Hallo effex :hallo:


Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HiJackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

• Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
• Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

• Windows Vista:
• Windows Vista Symbol anklicken
• In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
• Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
• Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
• Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
• Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.



Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.



CCleaner

• Downloade CCleaner und speichere die Datei auf dem Desktop
• Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
• Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
• Das angegebene Zielverzeichnis mit "weiter >" bestätigen
• Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
• Mit Doppelklick CCleaner öffnen
• Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
• "Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
• Diese Prozedur bei jedem Benutzerkonto durchführen
• Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript



Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.



Konfiguriere die Ordneransicht vernünftig um => Ordneransicht



SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Hey,

danke für die schnelle Antwort!

Also im vorraus erstmal ich benutze die 32 Bit Version von Vista!

Ich habe alle Schritte befolgt aber leider ist mir grade aufgefallen das ich beim benutzen des CCleaner nicht eignestellt habe das ich es als Administrator ausführen will... deswegen habe ich es noch einmal gestartet und habe nun 2 Log-Files.. Ich hoffe das ist kein zu großes Problem...

Log file 1:

2007 Microsoft Office system Microsoft Corporation
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation
Adobe Flash Player 10 Plugin Adobe Systems Incorporated
Adobe Photoshop CS2 Adobe Systems, Inc.
Adobe Reader 8.1.2 - Deutsch Adobe Systems Incorporated
Agere Systems HDA Modem Agere Systems
AI TouchMedia CyberLink Corp.
Apple Mobile Device Support Apple Inc.
Apple Software Update Apple Inc.
ASUS CopyProtect ASUS
ASUS Data Security Manager ASUS
ASUS LifeFrame3 ASUS
ASUS Live Update ASUS
ASUS MultiFrame
ASUS Power4Gear eXtreme ASUS
ASUS SmartLogon ASUS
ASUS Splendid Video Enhancement Technology ASUS
ASUS Virtual Camera ASUS
Asus_Camera_ScreenSaver ASUS
ATK Generic Function Service ATK
ATK Hotkey ASUS
ATK Media
ATKOSD2 ASUS
Avira AntiVir Personal - Free Antivirus Avira GmbH
Bonjour Apple Inc.
CCleaner (remove only) Piriform
Counter-Strike Valve
CyberLink LabelPrint CyberLink Corp.
CyberLink Power2Go CyberLink Corp.
DivX Codec DivX, Inc.
DivX Converter DivX, Inc.
DivX Player
DivX Web Player DivX,Inc.
Dolby Control Center Dolby
Express Gate devicevm
Free YouTube to Mp3 Converter version 3.1 DVD Video Soft Limited.
Graffiti Studio 2.0 Less Rain
Grand Theft Auto IV Rockstar Games
HijackThis 2.0.2 TrendMicro
ICQ6.5 ICQ
ITECIR ITE
iTunes Apple Inc.
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Microsoft Corporation
Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Corporation
Microsoft Games for Windows - LIVE Microsoft Corporation
Microsoft Games for Windows - LIVE Redistributable Microsoft Corporation
Microsoft Silverlight Microsoft Corporation
Mozilla Firefox (3.0.6) Mozilla
NB Probe
Net4Switch ASUS
NVIDIA Drivers NVIDIA Corporation
OpenOffice.org 3.0 OpenOffice.org
QuickTime Apple Inc.
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista Realtek
Realtek High Definition Audio Driver Realtek Semiconductor Corp.
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.55.01
RivaTuner v2.0 RC 15.4
Rockstar Games Social Club Rockstar Games
Santa Claus in Trouble
Steam Valve
Synaptics Pointing Device Driver Synaptics
TeamSpeak 2 RC2 Dominating Bytes Design
Uninstall 1.0.0.1
USB2.0 UVC 1.3M WebCam
VLC media player 0.9.8a VideoLAN Team
WIDCOMM Bluetooth Software Broadcom Corporation
Winamp Nullsoft, Inc
Windows Live installer Microsoft Corporation
Windows Live Messenger Microsoft Corporation
WinFlash
WinRAR
Wireless Console 2 ATK



Log File 2:

2007 Microsoft Office system Microsoft Corporation
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation
Adobe Flash Player 10 Plugin Adobe Systems Incorporated
Adobe Photoshop CS2 Adobe Systems, Inc.
Adobe Reader 8.1.2 - Deutsch Adobe Systems Incorporated
Agere Systems HDA Modem Agere Systems
AI TouchMedia CyberLink Corp.
Apple Mobile Device Support Apple Inc.
Apple Software Update Apple Inc.
ASUS CopyProtect ASUS
ASUS Data Security Manager ASUS
ASUS LifeFrame3 ASUS
ASUS Live Update ASUS
ASUS MultiFrame
ASUS Power4Gear eXtreme ASUS
ASUS SmartLogon ASUS
ASUS Splendid Video Enhancement Technology ASUS
ASUS Virtual Camera ASUS
Asus_Camera_ScreenSaver ASUS
ATK Generic Function Service ATK
ATK Hotkey ASUS
ATK Media
ATKOSD2 ASUS
Avira AntiVir Personal - Free Antivirus Avira GmbH
Bonjour Apple Inc.
CCleaner (remove only) Piriform
Counter-Strike Valve
CyberLink LabelPrint CyberLink Corp.
CyberLink Power2Go CyberLink Corp.
DivX Codec DivX, Inc.
DivX Converter DivX, Inc.
DivX Player
DivX Web Player DivX,Inc.
Dolby Control Center Dolby
Express Gate devicevm
Free YouTube to Mp3 Converter version 3.1 DVD Video Soft Limited.
Graffiti Studio 2.0 Less Rain
Grand Theft Auto IV Rockstar Games
HijackThis 2.0.2 TrendMicro
ICQ6.5 ICQ
ITECIR ITE
iTunes Apple Inc.
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Corporation
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation
Microsoft Games for Windows - LIVE Microsoft Corporation
Microsoft Games for Windows - LIVE Redistributable Microsoft Corporation
Microsoft Silverlight Microsoft Corporation
Mozilla Firefox (3.0.6) Mozilla
NB Probe
Net4Switch ASUS
NVIDIA Drivers NVIDIA Corporation
OpenOffice.org 3.0 OpenOffice.org
QuickTime Apple Inc.
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista Realtek
Realtek High Definition Audio Driver Realtek Semiconductor Corp.
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.55.01
RivaTuner v2.0 RC 15.4
Rockstar Games Social Club Rockstar Games
Santa Claus in Trouble
Steam Valve
Synaptics Pointing Device Driver Synaptics
TeamSpeak 2 RC2 Dominating Bytes Design
Uninstall 1.0.0.1
USB2.0 UVC 1.3M WebCam
VLC media player 0.9.8a VideoLAN Team
WIDCOMM Bluetooth Software Broadcom Corporation
Winamp Nullsoft, Inc
Windows Live installer Microsoft Corporation
Windows Live Messenger Microsoft Corporation
WinFlash
WinRAR
Wireless Console 2 ATK


HiJackThis Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:33, on 10.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe
C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
D:\GTA VI\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\HIjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] D:\GTA VI\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8209 bytes



Ich habe die Schritte im letzten Punkt genau befolgt aber die runthis.bat Datei ließ sich nicht öffnen, es öffnete sich lediglich ein kleines Fenster für ca 1 Sekunde!

Bist du dir auch sicher dass du die Datei auch im abgesicherten Modus ausgeführt hast?


diese Einträge fixen bei HiJackThis:

ja, da bin ich mir ganz sicher!
Habs sogar mehrmals versucht!


OK fixed!

und du bist dir auch ganz sicher auf RunThis.bat geklickt zu haben?
das ist wichtig

Wenn du dir sicher bist dann mach damit weiter



Gmer

http://www.chip.de/ii/183398422_fb183cfed7.gif

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit Gmer mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende Gmer mit "OK"

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-10 15:21:02
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281CCD0
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C0E8
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C3D8
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82807D64
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8280801C
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C1C0
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281CB40
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C6D4
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281D100
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281D36C

Code 8FBF4490 ZwEnumerateKey
Code 8FB6D340 ZwFlushInstructionCache
Code 8FBF44FD IofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 828F3F6F 5 Bytes JMP 8FBF4502
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 829EA30B 5 Bytes JMP 8FB6D344
PAGE ntkrnlpa.exe!ZwEnumerateKey 82A3FBB4 5 Bytes JMP 8FBF4494

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [72E57BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [72E998C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [72E5D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [72E4F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [72E57599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [72E4E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [72E8B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [72E5D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [72E5012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [72E50095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [72E471F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [72EDD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [72E775E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [72E4DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [72E4668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [72E466BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [72E51E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1

---- Services - GMER 1.0.14 ----

Service C:\Windows\system32\drivers\senekaocpuixtw.sys (*** hidden *** ) [SYSTEM] seneka <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\seneka
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002243a123f8
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002243a123f8@0022989357c4 0x44 0x8D 0x1E 0xD1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002243a123f8
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002243a123f8@0022989357c4 0x44 0x8D 0x1E 0xD1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\seneka
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet004\Services\seneka
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet005\Services\seneka
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet006\Services\seneka
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet007\Services\BTHPORT\Parameters\Keys\002243a123f8
Reg HKLM\SYSTEM\ControlSet007\Services\BTHPORT\Parameters\Keys\002243a123f8@0022989357c4 0x44 0x8D 0x1E 0xD1 ...
Reg HKLM\SYSTEM\ControlSet007\Services\seneka
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----

Okay diesen Rootkit killen wir mit:



Malwarebytes' Anti-Malware

• Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
• Installiere Anti-Malware unter dem vorgegebenen Pfad
• Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
• Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
• Klicke alle Laufwerke an => drücke "Scan starten"
• Lasse alle Funde löschen!
• Poste anschließend das enstandene Logfile

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

Wechsel in den abgesicherten Modus:

• Starte den PC neu
• Drücke beim Hochfahren mehrmals die Taste [F8]
• Es erscheint ein Windows-Menü, navigiere dich mit den Pfeiltasten zu der Option abgesicherter Modus
• bestätige mit der Eingabetaste

[*]Starte nun im abgesichertem Modus SASW[*]Klicke im Hauptmenü den Button "Scan your Computer..."[*]Wähle in der Scan Location alle Festplatten und externe Datenträger aus[*]Klicke auf "Perform Complete Scan" und gehe auf "weiter"[*]Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"[*]Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."[*]Poste nun das Log



versuche nun erneut SDFix zu starten



HiJackThis

• Downloade HiJackThis auf dem Desktop von >>hier<<
• Bennene die heruntergeladene Datei z.B. in asdf.com um. Bitte auf die Endung achten!
• Installiere HiJackThis unter dem angegebenen Pfad
• Wenn du mit den Lizenzbedingungen einverstanden bist, bestätige mit "I Accept"
• Es erscheint das "Main menu"
• Klicke auf den Button "do a system scan and save a logfile"
• Es erscheint ein Logfile, kopiere alles und poste es hier
• Wenn verlangt wird, dass ein neuer HiJackThis Log gepostet werden soll, dann mache erneut einen System Scan und poste das neu entstandene Logfile

Ich habe nun Malware.. durchlaufen lassen ! Es gab ein paar Funde aber es konnten nicht alle gelöscht werden, darauf hin wollte das Programm das ich meine PC neustarte...gesagt getan... aber nach dem neustart öffnete sich das Programm nicht noch einmal um die letzen Datein zu löchen...


Malware log:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1744
Windows 6.0.6001 Service Pack 1

11.02.2009 14:06:42
mbam-log-2009-02-11 (14-06-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 163336
Laufzeit: 17 hour(s), 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\senekarkndqovy.dll (Trojan.Seneka) -> Delete on reboot.
C:\Windows\System32\senekaslmptinx.dll (Trojan.Seneka) -> Delete on reboot.
C:\Windows\System32\drivers\senekaocpuixtw.sys (Trojan.Seneka) -> Delete on reboot.
C:\Windows\System32\senekapcvdlxue.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekascystvvg.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\senekaxrveoscp.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Alles in Ordnung da steht delete on reboot das wird beim Neustart gelöscht :)

Mir wurde aber nicht angezeigt das es gelöscht wurde...
SDfix hat wieder nicht funktioniert.. auch nicht nach einer neuinstallation des Programmes!

Superanti log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/11/2009 at 04:34 PM

Application Version : 4.25.1012

Core Rules Database Version : 3751
Trace Rules Database Version: 1717

Scan type : Complete Scan
Total Scan Time : 00:20:01

Memory items scanned : 283
Memory threats detected : 0
Registry items scanned : 6312
Registry threats detected : 2
File items scanned : 23148
File threats detected : 10

Adware.Tracking Cookie
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@tradedoubler[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atwola[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@bluestreak[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@adserver.71i[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@ad.zanox[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@weborama[2].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@doubleclick[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@adfarm1.adition[2].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@zbox.zanox[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atdmt[2].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

HiJackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:41, on 11.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe
C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HIjack\HijackThis.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7969 bytes

Mit SASW hast du aber nicht im abgesicherten Modus gescannt.
Update und scanne im abgesicherten Modus

Ich habe es im abgesichertem modus gescannt!

Trotzdem hab ich es nocheinmal gemacht!

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/11/2009 at 07:45 PM

Application Version : 4.25.1012

Core Rules Database Version : 3751
Trace Rules Database Version: 1717

Scan type : Complete Scan
Total Scan Time : 00:19:48

Memory items scanned : 295
Memory threats detected : 0
Registry items scanned : 6313
Registry threats detected : 2
File items scanned : 23162
File threats detected : 5

Adware.Tracking Cookie
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atwola[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@adserver.71i[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@weborama[2].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@doubleclick[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atdmt[2].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

diesmal da du Vista hast, klicke die Datei mit Rechtsklick an und führe sie als Administrator aus.

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

es ist wieder genau das selbe...

es öffnet sich für nichtmal 1 Sekunde ein blaues Fenster und wird dann sofort geschlossen-.-

nun bin ich echt am Ende meines Lateins

versuch es mal hiermit:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

also:
du downloadest die Datei bennenst sie um in asdf.com
dann doppelklicken und installieren
jetzt startest du den Computer neu und gehst in den abgesicherten Modus (ganz wichtig!)
in dem Ordner von SDFix findest du eine Datei runthis.bat
die dann Doppelklicken


hast du das alles genau so befolgt?
wenn ja dann mach damit weiter


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:


sage dann ob es noch Meldungen von Avira gibt


EDIT: Sunny war schneller

Sodela!!!!

Hier is mein Combofix log:

versuchs nochmal mit SDFix

..geht immernoch nicht..

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Suppr um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)


Gibt es danach noch Probleme mit dem System?[/QUOTE]

GTA IV habe ich nun noch nicht getestet(keine Zeit jetzt dafür) aber Google verlinkt mich schonmal nicht auf andere unseriöse Seiten!!!

der dürfte nix finden aber sicher ist sicher

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

soweit ich das sehen kann hat er nichts gefunden! :)

ich danke dir so heftig :D:D:D :dankeschoen:

stop hier bleiben :)

den IE mit Rechtsklick anklicken und als Admin ausführen



Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

nach den Scans immer noch da bleiben weil die ganzen Programme gelöscht werden sollten

kaspersky dauert mir nun zu lange


ich mach das morgen hau rinne

Machs aber das ist nur Last Control um zu schauen ob wirklich alles weg ist

Kaspersky log:

Kaspersky Log 2:

Kaspersky Log 3:

Kaspersky Log 4:

ActiveScan:

So diese Datei bei Virustotal auswerten ich will mal wissen was VT sagt:


das alles deinstallieren:

• Navipromo
• Panda online Scan
• Kaspersky Online Scan
• Lop S&D
• Gmer
• SASW oder MBAM kannst du behalten du solltest doch für eins entscheiden oder keins

Deinstalliere Combofix

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg


lass noch CCleaner drüber laufen kannst du behalten oder deinstallieren ich kanns nur empfehlen