Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Maleware, Trojaner oder sonstwas hartnäckiges (https://www.trojaner-board.de/81910-maleware-trojaner-sonstwas-hartnaeckiges.html)

millennia100 19.01.2010 10:52
Maleware, Trojaner oder sonstwas hartnäckiges
 
Hallo Forengemeinde,

Zunächst schonmal ein großes Dankeschön an all die freiwilligen Helfer, die sich hier die Mühe machen die PC fremder Leute zu entwurmen. Ihr seit klasse! :dankeschoen:

Nun zum eigentlichen Problem. Seit Tagen beschäftigt mich ein verseuchter PC. Blöderweise mein verseuchter PC. Ich habe mir einiges eingefangen (Details in den Log-Files) und auch schon einiges selbst beheben können.

Das einzige was noch übrig ist, ist folgendes Problem:
In unregelmäßigen Abständen öffnet sich ein neuer Tab im Firefox (3.5.7), der mich zu irgendwelchen Seiten führt. (Handyortung, oder anderer :balla:) Und genau das muss aufhören. Das nervt. Wo finde ich den Verantwortlichen? - Nein, nicht den Coder. Die verantwortliche Datei. Den Wurm, Trojaner, Hijacker, Whatever.
Denn leider sind sämliche Suchläufe von AV und Malewarebytes ohne Ergebnis. Hin und wieder tauchen Öffnungen in der Windowsfirewall auf, die den Namen "sppourt" tragen.
Vielleicht habt ihr eine Ahnung, was das sein kann, oder welche Software das bereinigen kann.

Vielen Dank,
millennia100

Edit 1:
Nach einigem Suchen hier im Board, bin ich auf eine Google-Anzeige gestoßen, die mich zum Spywar-Doctor geführt hat. Der findet tatsächlich so einiges auf dem Rechner - ist aber nicht frei verfügbar. Gibt es eine Alternative um folgendes zu entfernen?
http://img192.imageshack.us/img192/517/trojanspy.jpg

Gefunden wurden:
  • TrojanProxy.Agent
  • Trojan.Downloader
  • Backdoor.Bot
  • Malware.Trace
  • Hijack.ControlPanelStyle
  • Hijack.Help
  • Stolen.data
  • Rootkit.Agent
Das meiste davon wird mehrmals gelistet.

Hier eine detailierte Auflistung der Dinge, die von Avira Free gefunden wurden:
Code:
C:\WINDOWS\system32\drivers\tfxwb.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Nixoa.1
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [WARNUNG]  Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]  Die Quelldatei konnte nicht gefunden werden.
    [HINWEIS]  Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 4bcc6d04.qua erstellt ( QUARANTÄNE )
...und hier die Funde von Malwarebytes:
Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

18.01.2010 18:32:22
mbam-log-2010-01-18 (18-32-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 223266
Laufzeit: 1 hour(s), 23 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\documents and settings\all users\application data\apple computer\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spservice (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a5bf49a2-94f1-42bd-f434-3604812c807d} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\documents and settings\all users\application data\apple computer\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tfxwb.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\hi.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\dfgdgdfgrgdgfdrdfs.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Hier der aktuelle HjtscanLog:
Code:

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                        º                                    º
                                    hjtscanlist v2.0             
                        º                                    º
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

        C:\hiberfil.sys --------- 
        C:\pagefile.sys --------- 
  18.01.2010 21:53      C:\Program Files --------- 0
  18.01.2010 18:32      C:\WINDOWS --------- 0
  18.01.2010 12:27      C:\boot.ini --------- 222
  18.01.2010 08:00      C:\aaw7boot.log --------- 2458
  17.01.2010 16:35      C:\RECYCLER --------- 0
  17.01.2010 16:33      C:\cbdll.exe --------- 113893
  15.01.2010 21:15      C:\Documents and Settings --------- 0
  15.01.2010 21:15      C:\System Volume Information --------- 0
  15.01.2010 21:13      C:\MSDOS.SYS --------- 0
  15.01.2010 21:13      C:\AUTOEXEC.BAT --------- 0
  15.01.2010 21:13      C:\CONFIG.SYS --------- 0
  15.01.2010 21:13      C:\IO.SYS --------- 0
  11.12.2009 23:23      C:\DriverPack_CPU_wnt5_x86-32.ini --------- 459
  06.02.2009 04:05      C:\DriverPack_Chipset_wnt5_x86-32.ini --------- 1350
  27.01.2009 09:17      C:\makePNF.exe --------- 20992
  27.01.2009 09:17      C:\devcon.exe --------- 55808
  07.01.2009 22:44      C:\DriverPack_MassStorage_wnt5_x86-32.ini --------- 112242
  28.12.2008 19:46      C:\DriverPack_LAN_wnt5_x86-32.ini --------- 776
  13.04.2008 22:01      C:\ntldr --------- 250048
  13.04.2008 20:13      C:\NTDETECT.COM --------- 47564
  30.03.2008 03:11      C:\D --------- 0
----------------------------------------

 
C:\WINDOWS

  19.01.2010 10:28    C:\WINDOWS\WindowsUpdate.log --------- 46108
  19.01.2010 10:22    C:\WINDOWS\0.log --------- 0
  19.01.2010 10:21    C:\WINDOWS\bootstat.dat --------- 2048
  19.01.2010 09:53    C:\WINDOWS\SchedLgU.Txt --------- 4212
  18.01.2010 12:27    C:\WINDOWS\win.ini --------- 92
  18.01.2010 12:27    C:\WINDOWS\system.ini --------- 227
  18.01.2010 12:26    C:\WINDOWS\seRapid.INI --------- 1413
  18.01.2010 12:04    C:\WINDOWS\setupapi.log --------- 845188
  18.01.2010 11:31    C:\WINDOWS\ie7_main.log --------- 753
  18.01.2010 10:21    C:\WINDOWS\wiadebug.log --------- 216
  18.01.2010 08:02    C:\WINDOWS\wiaservc.log --------- 50
  17.01.2010 19:18    C:\WINDOWS\ntbtlog.txt --------- 2764716
  17.01.2010 15:01    C:\WINDOWS\chipset.log --------- 1248
  16.01.2010 11:05    C:\WINDOWS\CMISETUP.INI --------- 92
  16.01.2010 11:05    C:\WINDOWS\CMCDPLAY.INI --------- 26
  15.01.2010 22:07    C:\WINDOWS\regopt.log --------- 1662
  15.01.2010 22:06    C:\WINDOWS\Sti_Trace.log --------- 0
  15.01.2010 22:02    C:\WINDOWS\setuperr.log --------- 0
  15.01.2010 21:21    C:\WINDOWS\nsreg.dat --------- 0
  15.01.2010 21:20    C:\WINDOWS\ativpsrm.bin --------- 0
  15.01.2010 21:16    C:\WINDOWS\OEWABLog.txt --------- 661
  15.01.2010 21:15    C:\WINDOWS\setuplog.txt --------- 577963
  15.01.2010 21:15    C:\WINDOWS\oobeact.log --------- 52
  15.01.2010 21:15    C:\WINDOWS\REGLOCS.OLD --------- 8192
  15.01.2010 21:14    C:\WINDOWS\ntdtcsetup.log --------- 8427
  15.01.2010 21:14    C:\WINDOWS\tsoc.log --------- 9682
  15.01.2010 21:14    C:\WINDOWS\comsetup.log --------- 16183
  15.01.2010 21:14    C:\WINDOWS\setupact.log --------- 99661
  15.01.2010 21:13    C:\WINDOWS\KB976098-v2.log --------- 5147
  15.01.2010 21:13    C:\WINDOWS\control.ini --------- 0
  15.01.2010 21:13    C:\WINDOWS\WMSysPr9.prx --------- 316640
  15.01.2010 21:13    C:\WINDOWS\wmsetup.log --------- 295
  15.01.2010 21:13    C:\WINDOWS\ODBCINST.INI --------- 4161
  15.01.2010 21:12    C:\WINDOWS\WindowsShell.Manifest --------- 749
  15.01.2010 21:12    C:\WINDOWS\bitssetup.log --------- 1880
  15.01.2010 21:12    C:\WINDOWS\ocgen.log --------- 11445
  15.01.2010 21:12    C:\WINDOWS\FaxSetup.log --------- 12288
  15.01.2010 21:11    C:\WINDOWS\vb.ini --------- 36
  15.01.2010 21:11    C:\WINDOWS\vbaddin.ini --------- 37
  15.01.2010 21:11    C:\WINDOWS\DtcInstall.log --------- 135
  15.01.2010 21:11    C:\WINDOWS\sessmgr.setup.log --------- 1022
  15.01.2010 21:11    C:\WINDOWS\msmqinst.log --------- 10172
  30.10.2009 18:44    C:\WINDOWS\atiogl.xml --------- 19017
  14.04.2008 05:40    C:\WINDOWS\SET3.tmp --------- 1296669
  14.04.2008 05:34    C:\WINDOWS\SET4.tmp --------- 1088840
  14.04.2008 03:42    C:\WINDOWS\winhlp32.exe --------- 283648
  14.04.2008 03:42    C:\WINDOWS\regedit.exe --------- 146432
  14.04.2008 03:42    C:\WINDOWS\NOTEPAD.EXE --------- 69120
  14.04.2008 03:42    C:\WINDOWS\hh.exe --------- 10752
  14.04.2008 03:42    C:\WINDOWS\explorer.exe --------- 1033728
  14.04.2008 03:42    C:\WINDOWS\twain_32.dll --------- 50688
  02.04.2004 13:31    C:\WINDOWS\Dit.exe --------- 86016
  24.12.2003 13:25    C:\WINDOWS\ICCLR.INF --------- 573
  12.12.2003 18:16    C:\WINDOWS\Dit.DLL --------- 245760
  12.12.2003 18:14    C:\WINDOWS\Dit.INI --------- 266
  11.07.2003 10:31    C:\WINDOWS\DitExp.exe --------- 61440
  23.08.2001 12:00    C:\WINDOWS\twunk_16.exe --------- 49680
  23.08.2001 12:00    C:\WINDOWS\vmmreg32.dll --------- 18944
  23.08.2001 12:00    C:\WINDOWS\_default.pif --------- 707
  23.08.2001 12:00    C:\WINDOWS\desktop.ini --------- 2
  23.08.2001 12:00    C:\WINDOWS\TASKMAN.EXE --------- 15360
  23.08.2001 12:00    C:\WINDOWS\explorer.scf --------- 80
  23.08.2001 12:00    C:\WINDOWS\twunk_32.exe --------- 25600
  23.08.2001 12:00    C:\WINDOWS\msdfmap.ini --------- 1405
  23.08.2001 12:00    C:\WINDOWS\winhelp.exe --------- 256192
  23.08.2001 12:00    C:\WINDOWS\twain.dll --------- 94784
  25.06.1999 09:56    C:\WINDOWS\Unwise.exe --------- 127184
  17.11.1998 14:44    C:\WINDOWS\IsUn0407.exe --------- 328704
  02.10.1998 19:00    C:\WINDOWS\IsUninst.exe --------- 327168
----------------------------------------

 
C:\WINDOWS\System

 18.01.2010 12:26    C:\WINDOWS\System\cmicnfg.ini --------- 330
 14.04.2008 03:42    C:\WINDOWS\System\WINSPOOL.DRV --------- 146432
 13.04.2008 20:24    C:\WINDOWS\System\MMSYSTEM.DLL --------- 68768
 15.10.2003 16:26    C:\WINDOWS\System\SmWizard.exe --------- 1454080
 14.10.2003 11:52    C:\WINDOWS\System\cmicnfg.cpl --------- 2301952
 29.04.2002 15:04    C:\WINDOWS\System\cmids3d.dll --------- 917504
 23.08.2001 12:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
 23.08.2001 12:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
 23.08.2001 12:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73376
 23.08.2001 12:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25264
 23.08.2001 12:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
 23.08.2001 12:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109456
 23.08.2001 12:00    C:\WINDOWS\System\COMMDLG.DLL --------- 32816
 23.08.2001 12:00    C:\WINDOWS\System\AVICAP.DLL --------- 69584
 23.08.2001 12:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 126912
 23.08.2001 12:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944
 23.08.2001 12:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064
 23.08.2001 12:00    C:\WINDOWS\System\setup.inf --------- 59167
 23.08.2001 12:00    C:\WINDOWS\System\SHELL.DLL --------- 5120
 23.08.2001 12:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152
 23.08.2001 12:00    C:\WINDOWS\System\SOUND.DRV --------- 1744
 23.08.2001 12:00    C:\WINDOWS\System\stdole.tlb --------- 5532
 23.08.2001 12:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360
 23.08.2001 12:00    C:\WINDOWS\System\TIMER.DRV --------- 4048
 23.08.2001 12:00    C:\WINDOWS\System\VER.DLL --------- 9008
 23.08.2001 12:00    C:\WINDOWS\System\VGA.DRV --------- 2176
 23.08.2001 12:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600
 23.08.2001 12:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032
----------------------------------------

 
C:\WINDOWS\System32

 19.01.2010 10:22    C:\WINDOWS\system32\CatRoot2 --------- 0
 19.01.2010 09:53    C:\WINDOWS\system32\Z-SANService.log --------- 6270976
 18.01.2010 18:39    C:\WINDOWS\system32\drivers --------- 0
 18.01.2010 10:06    C:\WINDOWS\system32\DirectX --------- 0
 18.01.2010 10:06    C:\WINDOWS\system32\temp --------- 0
 18.01.2010 09:05    C:\WINDOWS\system32\config --------- 0
 18.01.2010 08:13    C:\WINDOWS\system32\appmgmt --------- 0
 18.01.2010 08:10    C:\WINDOWS\system32\DRVSTORE --------- 0
 18.01.2010 08:07    C:\WINDOWS\system32\bdod.bin --------- 81984
 17.01.2010 16:33    C:\WINDOWS\system32\db --------- 10
 17.01.2010 16:33    C:\WINDOWS\system32\chkntfsn.exe --------- 167936
 17.01.2010 15:03    C:\WINDOWS\system32\CatRoot --------- 0
 17.01.2010 15:01    C:\WINDOWS\system32\ReinstallBackups --------- 0
 17.01.2010 14:56    C:\WINDOWS\system32\initdebug.nfo --------- 45
 17.01.2010 09:07    C:\WINDOWS\system32\ZSANCoInstaller.log --------- 13056
 17.01.2010 08:04    C:\WINDOWS\system32\FNTCACHE.DAT --------- 185016
 16.01.2010 13:41    C:\WINDOWS\system32\perfh009.dat --------- 389786
 16.01.2010 13:41    C:\WINDOWS\system32\perfc009.dat --------- 57326
 16.01.2010 13:41    C:\WINDOWS\system32\PerfStringBackup.INI --------- 453882
 16.01.2010 13:40    C:\WINDOWS\system32\ZSAN_Install.Log --------- 4880
 16.01.2010 13:39    C:\WINDOWS\system32\NGRepairLog2B.txt --------- 1980
 16.01.2010 13:39    C:\WINDOWS\system32\NGRepairLog.txt --------- 1978
 16.01.2010 06:09    C:\WINDOWS\system32\spool --------- 0
 15.01.2010 22:03    C:\WINDOWS\system32\pid.PNF --------- 4444
 15.01.2010 22:00    C:\WINDOWS\system32\scripting --------- 0
 15.01.2010 22:00    C:\WINDOWS\system32\Setup --------- 0
 15.01.2010 22:00    C:\WINDOWS\system32\npp --------- 0
 15.01.2010 21:59    C:\WINDOWS\system32\en --------- 0
 15.01.2010 21:59    C:\WINDOWS\system32\ras --------- 0
 15.01.2010 21:59    C:\WINDOWS\system32\icsxml --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\PreInstall --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\mui --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1033 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1042 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\usmt --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1025 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\2052 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1037 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\3076 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1031 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\IME --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1041 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1054 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\1028 --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\3com_dmi --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\ShellExt --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\export --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\dhcp --------- 0
 15.01.2010 21:58    C:\WINDOWS\system32\wins --------- 0
 15.01.2010 21:15    C:\WINDOWS\system32\wpa.dbl --------- 2206
 15.01.2010 21:15    C:\WINDOWS\system32\Microsoft --------- 0
 15.01.2010 21:14    C:\WINDOWS\system32\$winnt$.inf --------- 1166
 15.01.2010 21:13    C:\WINDOWS\system32\TZLog.log --------- 3716
 15.01.2010 21:13    C:\WINDOWS\system32\CONFIG.NT --------- 2577
 15.01.2010 21:13    C:\WINDOWS\system32\amcompat.tlb --------- 16832
 15.01.2010 21:13    C:\WINDOWS\system32\nscompat.tlb --------- 23392
 15.01.2010 21:13    C:\WINDOWS\system32\dllcache --------- 0
 15.01.2010 21:13    C:\WINDOWS\system32\ias --------- 0
 15.01.2010 21:12    C:\WINDOWS\system32\logonui.exe.manifest --------- 488
 15.01.2010 21:12    C:\WINDOWS\system32\WindowsLogon.manifest --------- 488
 15.01.2010 21:12    C:\WINDOWS\system32\nwc.cpl.manifest --------- 749
 15.01.2010 21:12    C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749
 15.01.2010 21:12    C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749
 15.01.2010 21:12    C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749
 15.01.2010 21:12    C:\WINDOWS\system32\sapi.cpl.manifest --------- 749
 15.01.2010 21:12    C:\WINDOWS\system32\Restore --------- 0
 15.01.2010 21:12    C:\WINDOWS\system32\Macromed --------- 0
 15.01.2010 21:12    C:\WINDOWS\system32\oobe --------- 0
 15.01.2010 21:12    C:\WINDOWS\system32\Com --------- 0
 15.01.2010 21:12    C:\WINDOWS\system32\emptyregdb.dat --------- 21640
 15.01.2010 21:11    C:\WINDOWS\system32\MsDtc --------- 0
 15.01.2010 21:11    C:\WINDOWS\system32\wbem --------- 0
 15.01.2010 21:11    C:\WINDOWS\system32\en-US --------- 0
 14.12.2009 05:32    C:\WINDOWS\system32\pid.dll --------- 35328
 14.12.2009 05:32    C:\WINDOWS\system32\dvdplay.exe --------- 55296
 14.12.2009 05:32    C:\WINDOWS\system32\wzcsapi.dll --------- 52736
 14.12.2009 05:32    C:\WINDOWS\system32\sprio600.dll --------- 70656
 14.12.2009 05:32    C:\WINDOWS\system32\dmutil.dll --------- 52224
 14.12.2009 05:32    C:\WINDOWS\system32\sprio800.dll --------- 72192
 14.12.2009 05:32    C:\WINDOWS\system32\paqsp.dll --------- 157696
 14.12.2009 05:32    C:\WINDOWS\system32\mdwmdmsp.dll --------- 147968
 14.12.2009 05:32    C:\WINDOWS\system32\hid.dll --------- 20992
 14.12.2009 05:32    C:\WINDOWS\system32\spnike.dll --------- 69632
 14.12.2009 05:32    C:\WINDOWS\system32\wzcsvc.dll --------- 483840
 14.12.2009 05:32    C:\WINDOWS\system32\streamci.dll --------- 8192
 14.12.2009 05:32    C:\WINDOWS\system32\ntkrnlpa.exe --------- 2023936
 14.12.2009 05:31    C:\WINDOWS\system32\uxtheme.dll --------- 218624
 14.12.2009 05:31    C:\WINDOWS\system32\sfc_os.dll --------- 140288
 14.12.2009 05:31    C:\WINDOWS\system32\mmdriver.inf --------- 1435
 14.12.2009 05:31    C:\WINDOWS\system32\syssetup.dll --------- 990208
 14.12.2009 05:31    C:\WINDOWS\system32\xpsp4res.dll --------- 2560
 14.12.2009 05:31    C:\WINDOWS\system32\wshext.dll --------- 90112
 14.12.2009 05:31    C:\WINDOWS\system32\wscript.exe --------- 155648
 14.12.2009 05:31    C:\WINDOWS\system32\wshom.ocx --------- 135168
 14.12.2009 05:31    C:\WINDOWS\system32\wmvcore.dll --------- 2174976
 14.12.2009 05:31    C:\WINDOWS\system32\win32k.sys --------- 1850624
 14.12.2009 05:31    C:\WINDOWS\system32\wkssvc.dll --------- 132096
 14.12.2009 05:31    C:\WINDOWS\system32\winhttp.dll --------- 354816
 14.12.2009 05:31    C:\WINDOWS\system32\wininet.dll --------- 667136
 14.12.2009 05:31    C:\WINDOWS\system32\vbscript.dll --------- 430080
----------------------------------------

 
C:\WINDOWS\Prefetch

 19.01.2010 10:28    C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 13252
 19.01.2010 10:28    C:\WINDOWS\Prefetch\WINRAR.EXE-24731B5A.pf --------- 28202
 19.01.2010 10:26    C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 56756
 19.01.2010 10:26    C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 28844
 19.01.2010 10:26    C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-28B2F780.pf --------- 54962
 19.01.2010 10:25    C:\WINDOWS\Prefetch\FIREFOX.EXE-27033287.pf --------- 95932
 19.01.2010 10:23    C:\WINDOWS\Prefetch\THUNDERBIRD.EXE-20307F3B.pf --------- 82338
 19.01.2010 10:23    C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 39846
 19.01.2010 10:23    C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1294138
 19.01.2010 08:48    C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 14092
 19.01.2010 08:33    C:\WINDOWS\Prefetch\MMC.EXE-39071BCC.pf --------- 39920
 19.01.2010 08:33    C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf --------- 70206
 19.01.2010 08:28    C:\WINDOWS\Prefetch\IEXPLORE.EXE-27122324.pf --------- 117622
 19.01.2010 08:28    C:\WINDOWS\Prefetch\MSHTA.EXE-331DF029.pf --------- 33408
 19.01.2010 08:28    C:\WINDOWS\Prefetch\CHIPUTIL325.EXE-2E2A71CC.pf --------- 13834
 18.01.2010 22:01    C:\WINDOWS\Prefetch\RUNDLL32.EXE-141C5A2D.pf --------- 16366
 18.01.2010 22:01    C:\WINDOWS\Prefetch\VOLLEY.EXE-3A0B37F7.pf --------- 22408
 18.01.2010 21:56    C:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf --------- 11760
 18.01.2010 21:52    C:\WINDOWS\Prefetch\AVSCAN.EXE-2B457B67.pf --------- 48852
 18.01.2010 21:52    C:\WINDOWS\Prefetch\MBAM.EXE-14F874B0.pf --------- 48508
 18.01.2010 21:52    C:\WINDOWS\Prefetch\SETUP.EXE-004B3C80.pf --------- 18170
 18.01.2010 21:52    C:\WINDOWS\Prefetch\FIREFOX%20SETUP%203.5.7[1].EX-38919833.pf --------- 47112
 18.01.2010 21:48    C:\WINDOWS\Prefetch\AU_.EXE-05904C56.pf --------- 34256
 18.01.2010 21:48    C:\WINDOWS\Prefetch\HELPER.EXE-30F7EB9E.pf --------- 14926
 18.01.2010 21:48    C:\WINDOWS\Prefetch\UNINSTALLER.EXE-0EAEF946.pf --------- 14850
 18.01.2010 21:48    C:\WINDOWS\Prefetch\RUNDLL32.EXE-2CD85FD3.pf --------- 43532
 18.01.2010 21:45    C:\WINDOWS\Prefetch\SE.EXE-393DEF99.pf --------- 12090
 18.01.2010 21:45    C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf --------- 67944
 18.01.2010 21:43    C:\WINDOWS\Prefetch\AVCENTER.EXE-07F060EF.pf --------- 53008
 18.01.2010 21:36    C:\WINDOWS\Prefetch\Layout.ini --------- 543242
 18.01.2010 18:54    C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf --------- 85080
 18.01.2010 18:54    C:\WINDOWS\Prefetch\AVNOTIFY.EXE-1C9A10B7.pf --------- 51564
 18.01.2010 18:54    C:\WINDOWS\Prefetch\UPDATE.EXE-3010D7EC.pf --------- 47326
 18.01.2010 18:53    C:\WINDOWS\Prefetch\FOXITR~1.EXE-217A9666.pf --------- 37188
 18.01.2010 18:32    C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 44056
 18.01.2010 12:33    C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf --------- 20728
 18.01.2010 10:11    C:\WINDOWS\Prefetch\CLI.EXE-26C1BC8E.pf --------- 52876
 18.01.2010 08:13    C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 84822
 18.01.2010 08:07    C:\WINDOWS\Prefetch\VSSERV.EXE-18F2FAF5.pf --------- 71882
 18.01.2010 08:07    C:\WINDOWS\Prefetch\LIVESRV.EXE-0013331D.pf --------- 25298
 18.01.2010 08:05    C:\WINDOWS\Prefetch\UPGREPL.EXE-0CB08047.pf --------- 58360
 18.01.2010 08:02    C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf --------- 28170
 17.01.2010 23:05    C:\WINDOWS\Prefetch\CCC.EXE-39E67F5F.pf --------- 86418
 17.01.2010 20:26    C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf --------- 27704
 17.01.2010 20:16    C:\WINDOWS\Prefetch\UISCAN.EXE-3367FD9B.pf --------- 132464
 17.01.2010 16:36    C:\WINDOWS\Prefetch\SETUPX.EXE-0849B8AD.pf --------- 86510
 17.01.2010 16:36    C:\WINDOWS\Prefetch\IPCLOG.EXE-07BBE401.pf --------- 18264
 17.01.2010 15:01    C:\WINDOWS\Prefetch\RUNONCE.EXE-2803F297.pf --------- 24640
 17.01.2010 15:01    C:\WINDOWS\Prefetch\IKERNEL.EXE-078AA887.pf --------- 41104
 17.01.2010 08:22    C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf --------- 22398
 16.01.2010 13:41    C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf --------- 75660
 16.01.2010 12:56    C:\WINDOWS\Prefetch\MSCORSVW.EXE-1BF30400.pf --------- 90344
 16.01.2010 12:30    C:\WINDOWS\Prefetch\NGEN.EXE-38021CCC.pf --------- 16432
 16.01.2010 10:28    C:\WINDOWS\Prefetch\REGTLIBV12.EXE-0E2FA54B.pf --------- 9560
 15.01.2010 21:20    C:\WINDOWS\Prefetch\INSTALLSHELL.EXE-070F5DC4.pf --------- 14072
----------------------------------------

 
C:\WINDOWS\Tasks

 19.01.2010 10:21    C:\WINDOWS\Tasks\SA.DAT --------- 6
 18.01.2010 08:04    C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job --------- 394
 23.08.2001 12:00    C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------

 
C:\WINDOWS\Temp

 18.01.2010 10:06    C:\WINDOWS\Temp\DE99B447R3 --------- 48
 17.01.2010 22:15    C:\WINDOWS\Temp\tmp00004566 --------- 0
 17.01.2010 19:50    C:\WINDOWS\Temp\piqq.tmp --------- 0
 17.01.2010 19:34    C:\WINDOWS\Temp\tmp00004a4d --------- 0
 17.01.2010 19:16    C:\WINDOWS\Temp\tmp00003c38 --------- 0
 17.01.2010 17:15    C:\WINDOWS\Temp\tmp1.tmp --------- 0
 17.01.2010 16:34    C:\WINDOWS\Temp\1e635a2ff38db53359bd3e4.tmp --------- 131072
 17.01.2010 16:34    C:\WINDOWS\Temp\81fa106b31c04c603dc39854.tmp --------- 131072
 17.01.2010 16:34    C:\WINDOWS\Temp\db485449b0d44bb6a4162f88.tmp --------- 131072
 17.01.2010 16:34    C:\WINDOWS\Temp\311af965390317116401f759.tmp --------- 131072
 17.01.2010 15:29    C:\WINDOWS\Temp\tmp00000ee0 --------- 0
 10.06.2004 13:58    C:\WINDOWS\Temp\ich5core.cat --------- 8143
 10.06.2004 13:58    C:\WINDOWS\Temp\ich5core.inf --------- 4733
 09.04.2004 10:17    C:\WINDOWS\Temp\ich5usb.cat --------- 9765
 09.04.2004 10:16    C:\WINDOWS\Temp\865.CAT --------- 9757
 09.04.2004 10:16    C:\WINDOWS\Temp\ich5usb.inf --------- 4353
 09.04.2004 10:15    C:\WINDOWS\Temp\865.INF --------- 4787
 08.04.2004 10:55    C:\WINDOWS\Temp\ICH6CORE.CAT --------- 8227
 05.04.2004 15:19    C:\WINDOWS\Temp\ICH6CORE.INF --------- 4824
----------------------------------------

 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

 19.01.2010 10:28      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hjtscanlist.zip --------- 2097
 19.01.2010 10:26      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC942.tmp --------- 114688
 18.01.2010 13:50      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll --------- 192512
 18.01.2010 13:50      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll --------- 172032
 18.01.2010 12:26      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF3E23.tmp --------- 114688
 18.01.2010 09:00      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fontconfig --------- 0
 17.01.2010 21:11      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MozillaMailnews --------- 0
 17.01.2010 19:48      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AVSETUP_4b535b3f --------- 0
 17.01.2010 19:47      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistUI53F8.txt --------- 11486
 17.01.2010 19:47      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistMSI53F8.txt --------- 516796
 17.01.2010 19:04      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF3AC5.tmp --------- 114688
 17.01.2010 19:03      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp000032c7 --------- 0
 17.01.2010 18:46      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp0000252b --------- 0
 17.01.2010 18:37      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistUI1E99.txt --------- 11428
 17.01.2010 18:37      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistMSI1E99.txt --------- 1820
 17.01.2010 17:38      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\443.exe --------- 0
 17.01.2010 17:38      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uhs87rhjefhs87fhdjfbs37gffd.tmp --------- 4
 25.01.2006 12:00      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UnInst.exe --------- 15872
----------------------------------------

 
C:\Program Files

----------------------------------------

 
C:\Documents and Settings\All Users\..

Administrator   
LocalService   
NetworkService   
Default User   
All Users   
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1      localhost

----------------------------------------

 

Image Name                  PID Session Name    Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                0        16 K
System                        4 Console                0        220 K
smss.exe                    592 Console                0        400 K
csrss.exe                    656 Console                0      3.620 K
winlogon.exe                692 Console                0      2.844 K
services.exe                736 Console                0      3.968 K
lsass.exe                    748 Console                0      2.504 K
ati2evxx.exe                936 Console                0      3.276 K
svchost.exe                  956 Console                0      8.552 K
svchost.exe                1032 Console                0      4.444 K
svchost.exe                1136 Console                0    18.936 K
svchost.exe                1208 Console                0      3.772 K
ati2evxx.exe                1240 Console                0      3.780 K
svchost.exe                1432 Console                0      4.036 K
explorer.exe                1588 Console                0    16.248 K
spoolsv.exe                1660 Console                0      5.340 K
sched.exe                  1744 Console                0        228 K
avguard.exe                1784 Console                0    48.000 K
avgnt.exe                  1960 Console                0      1.472 K
svchost.exe                1992 Console                0      3.432 K
MOM.exe                      116 Console                0      4.188 K
CCC.exe                      244 Console                0      5.004 K
LSSrvc.exe                  1128 Console                0      2.972 K
mdm.exe                    1372 Console                0      2.876 K
Z-SANService.exe            1800 Console                0      5.996 K
HiJackThis.exe              3336 Console                0    10.500 K
firefox.exe                3468 Console                0    51.148 K
cmd.exe                    4060 Console                0      2.712 K
tasklist.exe                1548 Console                0      4.472 K
wmiprvse.exe                1760 Console                0      5.988 K

 
***** Ende des Scans 19.01.2010 um 10:28:49,90 ***
Hier der aktuelle HijackThis-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10:36:53, on 19.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Avira\AntiVir Desktop\sched.exe
G:\Avira\AntiVir Desktop\avguard.exe
G:\Avira\AntiVir Desktop\avgnt.exe
G:\ATI\ATI.ACE\Core-Static\MOM.exe
G:\ATI\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
G:\Netgear\Z-SANService.exe
G:\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe
G:\Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
G:\Thunderbird\thunderbird.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://waspo.de/kanu/j/
O4 - HKLM\..\Run: [StartCCC] "G:\ATI\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "G:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - G:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - G:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Z-SAN Service (Z-SANService) - Zetera Corporation - G:\Netgear\Z-SANService.exe

--
End of file - 2825 bytes

cosinus 19.01.2010 12:08
Hallo,

wenn Du sicher gehen willst, führt nichts an einer Neuinstallation vorbei :)
Wir können aber auch weiter analysieren und bereinigen, führ dann erstmal GMER aus und poste das Log!

millennia100 19.01.2010 16:42
Hallo nochmal und Danke für den Tipp mit GMER.
Der erste Versuch ging in die Hose. Ich starte runtergeladene Software immer gleich über die Download-Liste von Firefox. Da ist mein System erstmal abgeschmiert. Aber dafür hat der 2. Versuch mich zu folgenden Informationen gebracht (die ich zwar nicht deuten kann, vielleicht euch aber helfen, mir zu helfen...):

EDIT: Und ich muss dazu sagen, dass Spyware Doctor nun seine Scans auch ohne Funde beendet. Ich habe mir die Lizenz gekauft und alles soweit bereinigen lassen.


Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-19 16:34:41
Windows 5.1.2600 Service Pack 3
Running: 9z4osn51.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwgyaaow.sys


---- System - GMER 1.0.15 ----

SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwCreateKey [0xF7459E52]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwCreateProcess [0xF743ACDE]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwCreateProcessEx [0xF743AED0]
SSDT            AEBAC66C                                                                                                            ZwCreateThread
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwDeleteKey [0xF745A640]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwDeleteValueKey [0xF745A8F4]
SSDT            AEBAC68A                                                                                                            ZwLoadKey
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwOpenKey [0xF7458B44]
SSDT            AEBAC658                                                                                                            ZwOpenProcess
SSDT            AEBAC65D                                                                                                            ZwOpenThread
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwRenameKey [0xF745AD60]
SSDT            AEBAC694                                                                                                            ZwReplaceKey
SSDT            AEBAC68F                                                                                                            ZwRestoreKey
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwSetValueKey [0xF745A112]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwTerminateProcess [0xF743A984]

---- Kernel code sections - GMER 1.0.15 ----

.rsrc          C:\WINDOWS\system32\drivers\atapi.sys                                                                              entry point in ".rsrc" section [0xF74907A4]
.text          C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                            section is writeable [0xB96EC000, 0x2191E7, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          G:\ATI\ATI.ACE\Core-Static\MOM.exe[256] KERNEL32.dll!LoadLibraryExW + C4                                            7C801BB9 4 Bytes  CALL 038D0001
.text          G:\ATI\ATI.ACE\Core-Static\ccc.exe[348] KERNEL32.dll!LoadLibraryExW + C4                                            7C801BB9 4 Bytes  CALL 05F50001
.text          C:\WINDOWS\system32\wbem\wmiprvse.exe[3340] kernel32.dll!LoadLibraryExW + C4                                        7C801BB9 4 Bytes  CALL 007B0001

---- Devices - GMER 1.0.15 ----

Device          \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32                                                                  PCTSDInj32.sys

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          -> \Driver\atapi \Device\Harddisk0\DR0                                                                            89E5D618

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                G:\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x94 0xA4 0x18 0x34 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                    0x08 0xBB 0x23 0xB8 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x7B 0xB9 0x2A 0x3F ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                    G:\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                    0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                    0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x94 0xA4 0x18 0x34 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                        0x08 0xBB 0x23 0xB8 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x7B 0xB9 0x2A 0x3F ...

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\atapi.sys                                                                              suspicious modification

---- EOF - GMER 1.0.15 ----

cosinus 19.01.2010 18:12
Zitat:
Ich starte runtergeladene Software immer gleich über die Download-Liste von Firefox.
Das solltest Du Dir schnell abgewöhnen, denn bei manchen Programmen sollten unbedingt alle anderen geschlossen werden - gerade Browser!!

Zitat:
C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
Da wurde die atapi.sys modifiziert, ich denke das bekommen wir mit CF in den Griff, bitte mal anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

millennia100 19.01.2010 19:18
OK, bei CCleaner kann ich die Fehler in der Registry nicht endgültig beheben. Es erscheint immer wieder:
Code:
Ungenutzte Datei-Endungen        {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}        HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Um hier alles Schritt für Schritt zu machen, will ich das lieber erst gelöst wissen. Ich versuche nochmal einen Viren/Maleware-Scan der Registry, rechne aber mit keinem großen Erfolg, da alles zuvor ohne Befund blieb...

cosinus 19.01.2010 19:24
Das ist okay, der stammt von AntiVir und kann nicht gelöscht werden. (Eigentlich hab ich schon beantragt, dass dieser Hinweis mit in die Anleitung vom CCleaner soll, ich hab das schon so oft geschrieben :()

millennia100 19.01.2010 20:30
Ahhja, Danke für den Tipp, das sollte wirklich irgendwo stehen.
Während der Ausführung von cofi wurde die "Windows File Protection" angezeigt. Und ich habe jetzt den nternet Explorer auf dem Desktop verlinkt, sowie als Standard-Browser. Alles ohne mein zutun.
OK, dann hier also der Log (UIII, ist das viel):

Code:
ComboFix 10-01-18.03 - Administrator 19.01.2010  20:18:32.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.2559.2172 [GMT 1:00]
ausgeführt von:: c:\documents and settings\Administrator\My Documents\Downloads\cofi.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-0159529923-2003568242-468851286-7683
c:\recycler\S-1-5-21-8665528644-5487879351-297380667-2561
c:\windows\system32\msconfig.exe

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2009-12-19 bis 2010-01-19  ))))))))))))))))))))))))))))))
.

2010-01-19 18:29 . 2010-01-19 18:29        --------        d-----w-        c:\documents and settings\Administrator\Local Settings\Application Data\ChemTable Software
2010-01-19 18:28 . 2010-01-19 18:28        --------        d-----w-        c:\documents and settings\Administrator\Application Data\ChemTable Software
2010-01-19 15:06 . 2004-04-10 08:42        2944        ----a-w-        c:\windows\system32\mbmiodrvr.sys
2010-01-19 15:04 . 2010-01-19 15:04        --------        d-----w-        c:\documents and settings\Administrator\Local Settings\Application Data\Downloaded Installations
2010-01-19 14:19 . 2010-01-19 14:19        --------        d-----w-        c:\windows\system32\xircom
2010-01-19 14:19 . 2010-01-19 14:19        --------        d-----w-        c:\windows\system32\wbem\snmp
2010-01-19 14:19 . 2010-01-19 14:19        --------        d-----w-        c:\windows\srchasst
2010-01-19 14:19 . 2010-01-19 14:19        --------        d-----w-        c:\windows\msagent
2010-01-19 14:19 . 2010-01-19 14:19        --------        d-----w-        c:\program files\microsoft frontpage
2010-01-19 09:56 . 2009-11-10 09:26        767952        ----a-w-        c:\windows\BDTSupport.dll
2010-01-19 09:56 . 2009-11-10 09:28        149456        ----a-w-        c:\windows\SGDetectionTool.dll
2010-01-19 09:56 . 2009-11-10 09:28        165840        ----a-w-        c:\windows\PCTBDRes.dll
2010-01-19 09:56 . 2009-11-10 09:28        1640400        ----a-w-        c:\windows\PCTBDCore.dll
2010-01-19 09:56 . 2009-10-28 00:36        1152444        ----a-w-        c:\windows\UDB.zip
2010-01-19 09:56 . 2008-11-26 11:08        131        ----a-w-        c:\windows\IDB.zip
2010-01-19 09:55 . 2009-10-30 10:11        233136        ----a-w-        c:\windows\system32\drivers\pctgntdi.sys
2010-01-19 09:55 . 2009-11-09 10:20        207792        ----a-w-        c:\windows\system32\drivers\PCTCore.sys
2010-01-19 09:55 . 2009-10-06 15:31        87784        ----a-w-        c:\windows\system32\drivers\PCTAppEvent.sys
2010-01-19 09:55 . 2009-09-03 08:45        70408        ----a-w-        c:\windows\system32\drivers\pctplsg.sys
2010-01-19 09:55 . 2010-01-19 09:56        --------        d-----w-        c:\program files\Common Files\PC Tools
2010-01-19 09:55 . 2010-01-19 09:55        --------        d-----w-        c:\documents and settings\All Users\Application Data\PC Tools
2010-01-19 09:55 . 2010-01-19 09:55        --------        d-----w-        c:\documents and settings\Administrator\Application Data\PC Tools
2010-01-19 09:54 . 2010-01-19 19:23        --------        d---a-w-        c:\documents and settings\All Users\Application Data\TEMP
2010-01-18 11:45 . 2010-01-18 11:45        --------        d-----w-        c:\documents and settings\Administrator\.thumbnails
2010-01-18 11:33 . 2010-01-18 12:15        --------        d-----w-        c:\documents and settings\Administrator\Application Data\gtk-2.0
2010-01-18 11:08 . 2010-01-18 11:08        --------        d-----w-        c:\documents and settings\Administrator\Application Data\EFSoftware
2010-01-18 11:03 . 2004-09-26 11:06        12800        ----a-w-        c:\windows\system32\PJLMON.DLL
2010-01-18 09:06 . 2010-01-18 09:06        --------        d-----w-        c:\windows\system32\temp
2010-01-18 09:06 . 2010-01-18 09:06        --------        d-----w-        c:\documents and settings\All Users\Application Data\PassMark
2010-01-18 08:00 . 2010-01-18 12:30        --------        d-----w-        c:\documents and settings\Administrator\.gimp-2.6
2010-01-18 07:52 . 2010-01-18 07:52        --------        d-----w-        c:\documents and settings\Administrator\Application Data\Helios
2010-01-17 22:08 . 2010-01-17 22:08        --------        d-----w-        c:\documents and settings\All Users\Application Data\LightScribe
2010-01-17 22:08 . 2010-01-17 22:08        --------        d-----w-        c:\documents and settings\Administrator\Application Data\Nero
2010-01-17 19:43 . 2004-08-04 00:58        25088        ----a-w-        c:\windows\system32\userinit.exe
2010-01-17 19:26 . 2010-01-17 19:26        --------        d-----w-        c:\documents and settings\Administrator\Application Data\Malwarebytes
2010-01-17 19:26 . 2010-01-07 15:07        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-17 19:26 . 2010-01-17 19:26        --------        d-----w-        c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-17 19:26 . 2010-01-07 15:07        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-01-17 17:58 . 2010-01-17 17:58        388096        ----a-r-        c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-17 17:38 . 2010-01-17 17:38        --------        d-s---w-        c:\windows\system32\config\systemprofile\UserData
2010-01-17 17:38 . 2009-11-25 10:19        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-01-17 17:38 . 2009-03-30 08:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-01-17 17:38 . 2009-02-13 10:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2010-01-17 17:38 . 2009-02-13 10:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2010-01-17 17:38 . 2010-01-17 17:38        --------        d-----w-        c:\documents and settings\All Users\Application Data\Avira
2010-01-17 16:48 . 2010-01-17 16:48        --------        d-----w-        c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft
2010-01-17 16:05 . 2010-01-17 16:47        3675848        -c--a-w-        c:\documents and settings\All Users\Application Data\{BB36BADD-522D-4988-B24C-0D9C7F8078A1}\Download Guard for Internet Explorer.exe
2010-01-17 16:05 . 2010-01-17 16:05        --------        dc-h--w-        c:\documents and settings\All Users\Application Data\{BB36BADD-522D-4988-B24C-0D9C7F8078A1}
2010-01-17 16:03 . 2010-01-18 07:10        --------        d-----w-        c:\documents and settings\All Users\Application Data\Lavasoft
2010-01-17 15:45 . 2010-01-17 15:47        --------        d-----w-        c:\documents and settings\All Users\Application Data\Nero
2010-01-17 15:45 . 2010-01-17 16:04        --------        d-----w-        c:\program files\Common Files\Nero
2010-01-17 15:44 . 2010-01-17 15:44        --------        d-----w-        c:\program files\Common Files\LightScribe
2010-01-17 15:33 . 2010-01-17 15:33        113893        --sh--w-        C:\cbdll.exe
2010-01-17 15:33 . 2010-01-17 15:33        167936        ----a-w-        c:\windows\system32\chkntfsn.exe
2010-01-17 13:59 . 1998-10-02 18:00        327168        ----a-w-        c:\windows\IsUninst.exe
2010-01-17 13:56 . 2010-01-17 13:56        --------        d-----w-        c:\program files\MSI
2010-01-17 08:15 . 2010-01-17 08:15        --------        d-----w-        c:\documents and settings\Administrator\Application Data\Foxit
2010-01-17 08:05 . 1999-06-25 08:56        127184        ----a-w-        c:\windows\Unwise.exe
2010-01-17 08:05 . 2010-01-17 08:05        --------        d-----w-        c:\program files\X10 Hardware
2010-01-17 08:05 . 2010-01-17 08:05        --------        d-----w-        c:\program files\Common Files\X10
2010-01-17 08:04 . 2004-02-06 12:55        465408        ----a-w-        c:\windows\system32\CatchSwitchForXP.exe
2010-01-17 08:04 . 2010-01-17 08:04        --------        d-----w-        c:\program files\Common Files\Borland Shared
2010-01-17 08:04 . 2004-02-07 11:30        460288        ----a-w-        c:\windows\system32\WbLogon.dll
2010-01-17 08:04 . 2003-06-26 10:25        45056        ----a-w-        c:\windows\system32\GetOSVer.dll
2010-01-17 08:04 . 2002-05-22 14:47        139776        ----a-w-        c:\windows\system32\WbHook.dll
2010-01-17 08:04 . 2002-05-20 14:42        651264        ----a-w-        c:\windows\system32\WbKeyCenter.dll
2010-01-17 08:04 . 2002-05-20 14:40        106496        ----a-w-        c:\windows\system32\GSM.DLL
2010-01-16 20:26 . 1998-11-17 13:44        328704        ----a-w-        c:\windows\IsUn0407.exe
2010-01-16 13:43 . 2004-08-18 08:34        442368        ----a-r-        c:\windows\system32\vp6vfw.dll
2010-01-16 13:21 . 2010-01-16 13:22        --------        d-----w-        c:\documents and settings\Administrator\Application Data\TigerPlayer
2010-01-16 13:20 . 2010-01-18 17:39        --------        d-----w-        c:\documents and settings\All Users\Application Data\Apple Computer
2010-01-16 12:55 . 2010-01-17 15:42        13440        ----a-w-        c:\windows\system32\drivers\USBCRFT.SYS
2010-01-16 12:55 . 2004-04-02 12:31        86016        ----a-w-        c:\windows\Dit.exe
2010-01-16 12:55 . 2003-12-12 17:16        245760        ------w-        c:\windows\Dit.DLL
2010-01-16 12:55 . 2003-07-11 09:31        61440        ----a-w-        c:\windows\DitExp.exe
2010-01-16 12:51 . 2006-10-26 18:58        30512        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-01-16 12:51 . 2006-10-26 18:58        30512        ----a-w-        c:\windows\system32\mdimon.dll
2010-01-16 12:50 . 2010-01-16 12:50        --------        d-----w-        c:\program files\Microsoft Works
2010-01-16 12:50 . 2010-01-16 12:50        --------        d-----w-        c:\program files\Microsoft.NET
2010-01-16 12:47 . 2010-01-16 12:48        --------        d-----w-        c:\windows\SHELLNEW
2010-01-16 12:47 . 2010-01-16 12:47        --------        d-----w-        c:\documents and settings\Administrator\Local Settings\Application Data\Microsoft Help
2010-01-16 12:47 . 2010-01-16 12:51        --------        d-----w-        c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-16 12:40 . 2007-08-14 20:29        345984        ----a-w-        c:\windows\system32\drivers\sfsz.sys
2010-01-16 12:40 . 2007-08-08 18:57        15488        ----a-w-        c:\windows\system32\drivers\ZetBus.sys
2010-01-16 12:40 . 2007-08-08 18:57        12800        ----a-w-        c:\windows\system32\drivers\ZetSFD.sys
2010-01-16 12:40 . 2007-08-08 18:57        5120        ----a-w-        c:\windows\system32\drivers\ZetMPD.sys
2010-01-16 12:40 . 2007-08-08 18:55        163927        ----a-w-        c:\windows\system32\ZSANCoInst.dll
2010-01-16 11:10 . 2010-01-16 11:10        --------        d-----w-        c:\windows\Logs
2010-01-16 10:43 . 2010-01-16 10:43        --------        d-----w-        c:\program files\Intel
2010-01-16 10:43 . 2010-01-17 08:04        --------        d--h--w-        c:\program files\InstallShield Installation Information
2010-01-16 10:21 . 2010-01-16 12:43        --------        d-----w-        c:\documents and settings\Administrator\Application Data\DAEMON Tools Lite
2010-01-16 10:21 . 2010-01-16 10:21        --------        d-----w-        c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-01-16 10:19 . 2010-01-16 10:19        --------        d-----w-        c:\documents and settings\Administrator\Local Settings\Application Data\Thunderbird
2010-01-16 10:19 . 2010-01-16 10:19        --------        d-----w-        c:\documents and settings\Administrator\Application Data\Thunderbird
2010-01-16 10:10 . 2010-01-18 07:07        81984        ----a-w-        c:\windows\system32\bdod.bin
2010-01-16 10:08 . 2010-01-17 06:42        43752        ----a-w-        c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-16 10:08 . 2010-01-16 10:08        --------        d-----w-        c:\documents and settings\All Users\Application Data\ATI
2010-01-16 10:08 . 2010-01-16 10:08        --------        d-----w-        c:\documents and settings\Administrator\Local Settings\Application Data\ATI
2010-01-16 10:08 . 2010-01-16 10:08        --------        d-----w-        c:\documents and settings\Administrator\Application Data\ATI
2010-01-16 10:03 . 2010-01-16 10:08        --------        d-----w-        c:\documents and settings\All Users\Application Data\BitDefender
2010-01-16 10:02 . 2010-01-18 07:07        --------        d-----w-        c:\program files\Common Files\BitDefender
2010-01-16 09:53 . 2008-04-14 05:09        5504        ----a-w-        c:\windows\system32\drivers\MSTEE.sys
2010-01-16 09:53 . 2008-04-14 05:16        10880        ----a-w-        c:\windows\system32\drivers\NdisIP.sys
2010-01-16 09:53 . 2008-04-14 05:16        15232        ----a-w-        c:\windows\system32\drivers\StreamIP.sys
2010-01-16 09:53 . 2008-04-14 05:16        11136        ----a-w-        c:\windows\system32\drivers\SLIP.sys
2010-01-16 09:53 . 2008-04-14 05:16        19200        ----a-w-        c:\windows\system32\drivers\WSTCODEC.SYS
2010-01-16 09:52 . 2008-04-14 05:16        85248        ----a-w-        c:\windows\system32\drivers\NABTSFEC.sys
2010-01-16 09:52 . 2008-04-14 05:16        17024        ----a-w-        c:\windows\system32\drivers\CCDECODE.sys
2010-01-16 09:52 . 2008-04-14 05:09        7552        ----a-w-        c:\windows\system32\drivers\MSKSSRV.sys
2010-01-16 09:52 . 2008-04-14 05:09        4992        ----a-w-        c:\windows\system32\drivers\MSPQM.sys
2010-01-16 09:52 . 2008-04-14 05:09        5376        ----a-w-        c:\windows\system32\drivers\MSPCLOCK.sys
2010-01-16 09:52 . 2008-04-14 10:42        53760        ----a-w-        c:\windows\system32\vfwwdm32.dll
2010-01-16 09:52 . 2008-04-14 10:41        4096        ----a-w-        c:\windows\system32\ksuser.dll
2010-01-16 09:50 . 2010-01-16 10:43        --------        d-----w-        c:\program files\Common Files\InstallShield
2010-01-15 21:07 . 2001-08-17 19:59        3072        ----a-w-        c:\windows\system32\drivers\audstub.sys
2010-01-15 21:06 . 2008-04-14 11:41        21504        ----a-w-        c:\windows\system32\hidserv.dll
2010-01-15 21:06 . 2008-04-14 06:10        57600        ----a-w-        c:\windows\system32\drivers\redbook.sys
2010-01-15 21:05 . 2001-08-17 19:46        6400        ----a-w-        c:\windows\system32\drivers\enum1394.sys
2010-01-15 21:05 . 2008-04-14 10:42        74240        ----a-w-        c:\windows\system32\usbui.dll
2010-01-15 21:05 . 2008-04-14 05:06        42368        ----a-w-        c:\windows\system32\drivers\AGP440.SYS
2010-01-15 21:02 . 2010-01-19 19:24        --------        d-----w-        c:\windows\system32\CatRoot2
2010-01-15 21:02 . 2010-01-17 14:03        --------        d-----w-        c:\windows\system32\CatRoot
2010-01-15 21:02 . 2009-01-27 08:17        55808        ----a-w-        C:\devcon.exe
2010-01-15 21:02 . 2009-01-27 08:17        20992        ----a-w-        C:\makePNF.exe
2010-01-15 21:02 . 2008-09-22 08:41        43520        ----a-w-        c:\windows\system32\drivers\fetnd5bv.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-16 10:05 . 2010-01-16 10:05        --------        d-----w-        c:\program files\C-Media
2010-01-15 20:21 . 2010-01-15 20:21        0        ----a-w-        c:\windows\nsreg.dat
2010-01-15 20:20 . 2010-01-15 20:20        0        ----a-w-        c:\windows\ativpsrm.bin
2010-01-15 20:19 . 2010-01-15 20:19        10134        ----a-r-        c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{A778A787-08A4-4089-CB68-02A9737DE532}\ARPPRODUCTICON.exe
2010-01-15 20:19 . 2010-01-15 20:19        --------        d-----w-        c:\program files\ATI
2010-01-15 20:12 . 2010-01-15 20:12        21640        ----a-w-        c:\windows\system32\emptyregdb.dat
2009-12-14 04:31 . 2009-12-14 04:31        361600        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2009-12-14 04:30 . 2009-12-14 04:30        248        ----a-w-        c:\windows\system32\nlite.cmd
2009-12-14 04:27 . 2009-12-14 04:27        3186        ----a-w-        c:\windows\system32\presetup.cmd
2009-12-14 04:27 . 2009-12-14 04:27        28672        ----a-w-        c:\windows\system32\setupold.exe
2009-11-25 03:50 . 2010-01-15 20:19        4463104        ----a-w-        c:\windows\system32\drivers\ati2mtag.sys
2009-11-25 03:27 . 2010-01-15 20:19        446464        ----a-w-        c:\windows\system32\ATIDEMGX.dll
2009-11-25 03:26 . 2010-01-15 20:19        300032        ----a-w-        c:\windows\system32\ati2dvag.dll
2009-11-25 03:11 . 2010-01-15 20:19        208896        ----a-w-        c:\windows\system32\atipdlxx.dll
2009-11-25 03:11 . 2010-01-15 20:19        155648        ----a-w-        c:\windows\system32\Oemdspif.dll
2009-11-25 03:10 . 2010-01-15 20:19        26112        ----a-w-        c:\windows\system32\Ati2mdxx.exe
2009-11-25 03:10 . 2010-01-15 20:19        43520        ----a-w-        c:\windows\system32\ati2edxx.dll
2009-11-25 03:10 . 2010-01-15 20:19        155648        ----a-w-        c:\windows\system32\ati2evxx.dll
2009-11-25 03:09 . 2010-01-15 20:19        602112        ----a-w-        c:\windows\system32\ati2evxx.exe
2009-11-25 03:07 . 2010-01-15 20:19        53248        ----a-w-        c:\windows\system32\ATIDDC.DLL
2009-11-25 02:59 . 2010-01-15 20:19        311296        ----a-w-        c:\windows\system32\atiiiexx.dll
2009-11-25 02:59 . 2010-01-15 20:19        3538496        ----a-w-        c:\windows\system32\ati3duag.dll
2009-11-25 02:44 . 2010-01-15 20:19        13533184        ----a-w-        c:\windows\system32\atioglxx.dll
2009-11-25 02:43 . 2010-01-15 20:19        2142848        ----a-w-        c:\windows\system32\ativvaxx.dll
2009-11-25 02:42 . 2010-01-15 20:19        887724        ----a-w-        c:\windows\system32\ativva6x.dat
2009-11-25 02:42 . 2010-01-15 20:19        3        ----a-w-        c:\windows\system32\ativva5x.dat
2009-11-25 02:26 . 2010-01-15 20:19        65024        ----a-w-        c:\windows\system32\atimpc32.dll
2009-11-25 02:26 . 2010-01-15 20:19        65024        ----a-w-        c:\windows\system32\amdpcom32.dll
2009-11-25 02:21 . 2010-01-15 20:19        565248        ----a-w-        c:\windows\system32\atikvmag.dll
2009-11-25 02:20 . 2010-01-15 20:19        45056        ----a-w-        c:\windows\system32\aticalrt.dll
2009-11-25 02:20 . 2010-01-15 20:19        45056        ----a-w-        c:\windows\system32\aticalcl.dll
2009-11-25 02:19 . 2010-01-15 20:19        176128        ----a-w-        c:\windows\system32\atiadlxx.dll
2009-11-25 02:18 . 2010-01-15 20:19        17408        ----a-w-        c:\windows\system32\atitvo32.dll
2009-11-25 02:18 . 2010-01-15 20:19        3612672        ----a-w-        c:\windows\system32\aticaldd.dll
2009-11-25 02:18 . 2010-01-15 20:19        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll
2009-11-25 02:17 . 2010-01-15 20:19        397312        ----a-w-        c:\windows\system32\atiok3x2.dll
2009-11-25 02:12 . 2010-01-15 20:19        638976        ----a-w-        c:\windows\system32\ati2cqag.dll
2009-10-22 15:59 . 2010-01-15 20:19        196565        ----a-w-        c:\windows\system32\atiicdxx.dat
.

------- Sigcheck -------

[-] 2009-12-14 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-08-04 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe



c:\windows\System32\wscntfy.exe ... Fehlt !!
c:\windows\System32\regsvc.dll ... Fehlt !!
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="g:\ati\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"avgnt"="g:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 99840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^PC Alert 4.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\PC Alert 4.lnk
backup=c:\windows\pss\PC Alert 4.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:42        15360        ------w-        c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57        369200        ----a-w-        g:\daemon tools lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2004-04-02 12:31        86016        ----a-w-        c:\windows\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2009-08-20 12:25        2363392        ----a-w-        c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"odserv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [19.01.2010 10:55 207792]
R2 AntiVirSchedulerService;Avira AntiVir Planer;g:\avira\AntiVir Desktop\sched.exe [17.01.2010 18:38 108289]
R2 Browser Defender Update Service;Browser Defender Update Service;g:\spyware doctor\BDT\BDTUpdateService.exe [19.01.2010 10:56 112592]
R2 SFSZ;DataPlow SFS for Zetera Storage Devices;c:\windows\system32\drivers\sfsz.sys [16.01.2010 13:40 345984]
R2 Z-SANService;Z-SAN Service;g:\netgear\Z-SANService.exe [16.01.2010 13:40 376891]
R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [16.01.2010 13:55 13440]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [29.09.2004 20:26 24704]
R3 ZetBus;Zetera Virtual Bus;c:\windows\system32\drivers\ZetBus.sys [16.01.2010 13:40 15488]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S0 tfxwb;tfxwb; [x]
S0 ZetSFD;ZetSFD;c:\windows\system32\drivers\ZetSFD.sys [16.01.2010 13:40 12800]
S3 sdAuxService;PC Tools Auxiliary Service;g:\spyware doctor\pctsAuxs.exe [19.01.2010 10:55 359624]
S3 ZetMPD;ZetMPD;c:\windows\system32\drivers\ZetMPD.sys [16.01.2010 13:40 5120]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://waspo.de/kanu/j/
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\c9ck1axm.default\
FF - plugin: g:\firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: g:\mpcstar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: g:\mpcstar\Codecs\Real\browser\plugins\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-12CFG214-K641-12SF-N85P - c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
MSConfigStartUp-Calc32 - c:\windows\system32\regedit.exe
MSConfigStartUp-cbdll - c:\documents and settings\Administrator\Desktop\WindowsApplication2.exe
MSConfigStartUp-ewindll - C:\allwin.exe
MSConfigStartUp-Microsoft Driver Setup - c:\windows\ccdrive32.exe
MSConfigStartUp-Regedit32 - c:\windows\system32\regedit.exe
MSConfigStartUp-WinsysMon - c:\documents and settings\Administrator\Desktop\googledownload.exe
MSConfigStartUp-ygua8e7yhuiesfha876yfauy8fe - c:\docume~1\ADMINI~1\LOCALS~1\Temp\no2fz7uke.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-19 20:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
g:\avira\AntiVir Desktop\avguard.exe
g:\ati\ATI.ACE\Core-Static\MOM.exe
g:\ati\ATI.ACE\Core-Static\ccc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-19  20:26:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-19 19:26

Vor Suchlauf: 8.651.866.112 bytes free
Nach Suchlauf: 8.629.956.608 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin /noguiboot

- - End Of File - - 0718E1A65B2B416CE7F5B0393806958D

cosinus 19.01.2010 20:36
Zitat:
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
Bzgl der infizierten atapi.sys lag ich richtig und CF konnte sie durch eine Originalversion ersetzen :)

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
files to delete;
C:\cbdll.exe
c:\windows\system32\chkntfsn.exe

drivers to delete:
tfxwb
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.

millennia100 20.01.2010 10:05
OK, so weit, so gut.
Allerdings habe dein Script berichtigen müssen, daher im Log die beiden ersten Fehlversuche. ";" vs. ":"
Der erste Bootvorgang brach mit einem Bluescreen ab, der zweite war dann erfolgreich. Beim Laden der Oberfläche erhalte ich jetzt diese Fehlermeldung mit Eingabeaufforderung:
http://img64.imageshack.us/img64/1541/nodisk.jpg

Also wieder ein Log:
Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 20 09:50:45 2010

09:50:45: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 20 09:51:26 2010

09:51:26: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\cbdll.exe" deleted successfully.
File "c:\windows\system32\chkntfsn.exe" deleted successfully.
Driver "tfxwb" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Und die backup.zip.

cosinus 20.01.2010 10:28
Ups :o
Sry für den Tippfehler :D

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

millennia100 20.01.2010 10:30
Ist echt kein Problem, ich bin so froh, das mir hier geholfen wird...
Außerdem kann ich lesen und das Script Tutorial ist da sehr eindeutig.

Edit: Ich musste gerade feststelle, dass sich in meinem Startmenü etwas verändert hat: neu hinzugekommen sind "My Network Places" und "My Music", aus den Ausklappmenüs "Control Panel" und "My Computer" wurden Verknüpfungen.

cosinus 20.01.2010 10:46
Das mit den verknüpfungen ist erstmal nicht wichtig, mich interessiert der Kontrollscan ;)

millennia100 20.01.2010 10:54
von welchem Programm?
Jetzt hab ich einiges zur Auswahl:
  • Avenger
  • ComboFix
  • GMER
  • Avira Free
  • Spyware Doctor
  • Malewarebytes

cosinus 20.01.2010 11:04
Malwarebytes meinte ich!

Zitat:
Zitat von cosinus (Beitrag 497402)
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

millennia100 20.01.2010 14:25
So, einmal Malwarebytes. Da der Spyware Doctor beim letzten Einsatz mehr gefunden hatte, werde ich auch da gerade nochmal einen Kompletten Test starten. Ansonsten gab es keine Funde bislang. :applaus:

Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.01.2010 14:22:09
mbam-log-2010-01-20 (14-22-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 221899
Laufzeit: 1 hour(s), 7 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hier Teil 1 des Logs von Spyware Doctor (Zeichenbeschränkung 75000):
Code:
20.01.2010 14:24:19:953       
Service gestartet
Serviceanwendung von Spyware Doctor gestartet
20.01.2010 14:24:19:953       
Anti-Malware-Modul
Die Konfiguration des Anti-Malware-Moduls wurde erfolgreich geladen.
20.01.2010 14:24:20:46       
IntelliGuard-Status
Alle IntelliGuards aktiviert
20.01.2010 14:24:25:734       
Immunizer-Ergebnisse
ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet.
20.01.2010 14:24:52:203       
Scan gestartet
Scan-Art - Intelli-Scan
20.01.2010 14:25:24:390       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
20.01.2010 14:25:24:390       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir
20.01.2010 14:25:24:390       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
20.01.2010 14:25:24:390       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot
20.01.2010 14:25:24:390       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, WinSock_Registry_Version
20.01.2010 14:25:24:390       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, Current_NameSpace_Catalog
20.01.2010 14:25:24:406       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, Current_Protocol_Catalog
20.01.2010 14:25:24:406       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5, Num_Catalog_Entries
20.01.2010 14:25:24:406       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5, Serial_Access_Num
20.01.2010 14:25:24:406       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, LibraryPath
20.01.2010 14:25:24:421       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, DisplayString
20.01.2010 14:25:24:421       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, ProviderId
20.01.2010 14:25:24:421       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, SupportedNameSpace
20.01.2010 14:25:24:421       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, Enabled
20.01.2010 14:25:24:421       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, Version
20.01.2010 14:25:24:437       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, StoresServiceClassInfo
20.01.2010 14:25:24:437       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001
20.01.2010 14:25:24:437       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, LibraryPath
20.01.2010 14:25:24:437       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, DisplayString
20.01.2010 14:25:24:437       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, ProviderId
20.01.2010 14:25:24:453       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, SupportedNameSpace
20.01.2010 14:25:24:453       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, Enabled
20.01.2010 14:25:24:453       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, Version
20.01.2010 14:25:24:453       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, StoresServiceClassInfo
20.01.2010 14:25:24:453       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002
20.01.2010 14:25:24:468       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, LibraryPath
20.01.2010 14:25:24:468       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, DisplayString
20.01.2010 14:25:24:468       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, ProviderId
20.01.2010 14:25:24:468       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, SupportedNameSpace
20.01.2010 14:25:24:468       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, Enabled
20.01.2010 14:25:24:484       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, Version
20.01.2010 14:25:24:484       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, StoresServiceClassInfo
20.01.2010 14:25:24:484       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003
20.01.2010 14:25:24:484       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries
20.01.2010 14:25:24:484       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5
20.01.2010 14:25:24:500       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Num_Catalog_Entries
20.01.2010 14:25:24:500       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Next_Catalog_Entry_ID
20.01.2010 14:25:24:500       
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Serial_Access_Num
20.01.2010 14:25:24:500


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:31 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131