Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe Trojaner! Blauer Desktop Hintergrund mit Warnmeldung "Warning Spyware detected" (https://www.trojaner-board.de/55066-hilfe-trojaner-blauer-desktop-hintergrund-warnmeldung-warning-spyware-detected.html)

m1n1g1n 30.06.2008 18:37
Hilfe Trojaner! Blauer Desktop Hintergrund mit Warnmeldung "Warning Spyware detected"
 
Hallo Leute,

ich hab da ein kleines Problem. Kürzlich hat sich mein Desktop Hintergrund verändert, und es erschien ein blauer Hintergrund mit einer englischen Warnmeldung: "Spyware detected on your system..". Ich hab den genauen Wortlaut der Meldung nicht mehr im Kopf.
Des Weiteren erschien noch eine Warnmeldung in der Taskleiste neben der Uhr. So ein Windows XP Bubble Meldung, falls Ihr wisst was ich meine. :-)
Ausserdem konnte ich einige Websites nicht aufrufen. Um ein Beispiel zu nennen, auf google.de konnte ich rauf aber auf google.com nicht. Hinzukommt, dass ich z.B. auf google.de zwar raufkam aber dort nicht suchen konnte! Des Weiteren wurde ich von POP-UP's genervt.
Dann konnte ich noch mit dem Tool "TCPIpView" beobachten, dass mein PC diverse Verbindungen zu irgendwelchen dubiosen IP's aufbaut. Des Weiteren hat mich Antivir mit Warnmeldungen bombaridert wenn ich z.B. Firefox oder Notepad starten wollte. Es ging konkret um eine Zugriffsverweigerung von Antivir die mit dieser dll zu tun hatte: "ecjkeojm.dll". Ich konnte dann Auswählen ob ich den Zugriff verweigern will usw. ich hoffe Ihr wisst welches Antivir Warnfester ich meine.

Daraufhin hab ich AntiVir und Norton Antivirus drüber laufen lassen, doch das war nur bediengt erfolgreich. Die Bubbel Wanrmeldungen waren nun weg und mein Desktop Hintergrund war auch wieder der Alte. Doch das Tool "TCPIpView" zeigt mir noch immer an, dass mein PC Verbindungen aufbaut die definitiv nicht sein sollten. Die POP-UP's und das Problem mit dem aufrufen von Webseiten bestand noch immer.

Doch dann bin ich glücklicherweise auf euer Forum gestoßen. Darin hab ich von einem ähnlichem Fall gelesen und ein Tool namens "SDFix" ausprobiert. Das hat einiges gebracht, hier die Log:

[LOG IM ZWEITEN POST - POST WAR ZU LANG]

Ich hoffe alles wurde erfolgreich entfernt, wäre nett wenn sich jemand diese Log ansieht und dies bestätigt.

Nachdem einsatz von SDFix und einem Reboot läuft mein PC wieder "normal".
Ich kann nun wieder normal im Netz surfen und die POP-Ups sowie die dubiosen Verbindungen (TCPIpVIEW) sind auch weg. Doch Antivir Meldet mir noch immer die zugriffe dieser dll "ecjkeojm.dll".

Naja, ich hab dann noch Hijackthis drüberlaufen lassen und hier ist die Log:

[LOG IM DRITTEN POST - POST WAR ZU LANG]

Ich kenn mich da nicht wirklich aus, aber die besagte dll "ecjkeojm.dll" taucht dort auch auf! Ich hoffe Ihr könnt mir helfen. Bitte schaut euch die beiden Log's an und falls Ihr noch fragen habt dann bitte her damit. :-)


mfg

m0n0g0n

m1n1g1n 30.06.2008 18:39
SDFix - Log
 
Code:
SDFix: Version 1.199
Run by Piotr on 30.06.2008 at 18:02

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\sdf\SDFix

Checking Services :

Name :
MsSecurity1.209.4

Path :
C:\WINDOWS2\444.470 service

MsSecurity1.209.4 - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS2\system32\hgGyyxwV.dll - Deleted
C:\Temp\1cb\syscheck.log - Deleted
C:\WINDOWS2\x.exe - Deleted
C:\WINDOWS2\y.exe - Deleted
C:\WINDOWS2\accesss.exe  - Deleted
C:\WINDOWS2\astctl32.ocx  - Deleted
C:\WINDOWS2\avpcc.dll  - Deleted
C:\WINDOWS2\clrssn.exe  - Deleted
C:\WINDOWS2\cpan.dll  - Deleted
C:\WINDOWS2\ctfmon32.exe  - Deleted
C:\WINDOWS2\ctrlpan.dll  - Deleted
C:\WINDOWS2\default.htm  - Deleted
C:\WINDOWS2\directx32.exe  - Deleted
C:\WINDOWS2\dnsrelay.dll  - Deleted
C:\WINDOWS2\editpad.exe  - Deleted
C:\WINDOWS2\explore.exe  - Deleted
C:\WINDOWS2\explorer32.exe  - Deleted
C:\WINDOWS2\funniest.exe  - Deleted
C:\WINDOWS2\funny.exe  - Deleted
C:\WINDOWS2\gfmnaaa.dll  - Deleted
C:\WINDOWS2\helpcvs.exe  - Deleted
C:\WINDOWS2\iedll.exe  - Deleted
C:\WINDOWS2\iexplorer.exe  - Deleted
C:\WINDOWS2\inetinf.exe  - Deleted
C:\WINDOWS2\internet.exe  - Deleted
C:\WINDOWS2\loader.exe  - Deleted
C:\WINDOWS2\megavid.cdt  - Deleted
C:\WINDOWS2\msconfd.dll  - Deleted
C:\WINDOWS2\msspi.dll  - Deleted
C:\WINDOWS2\mssys.exe  - Deleted
C:\WINDOWS2\msupdate.exe  - Deleted
C:\WINDOWS2\mswsc10.dll  - Deleted
C:\WINDOWS2\mswsc20.dll  - Deleted
C:\WINDOWS2\mtwirl32.dll  - Deleted
C:\WINDOWS2\muotr.so  - Deleted
C:\WINDOWS2\notepad32.exe  - Deleted
C:\WINDOWS2\olehelp.exe  - Deleted
C:\WINDOWS2\qttasks.exe  - Deleted
C:\WINDOWS2\quicken.exe  - Deleted
C:\WINDOWS2\rundll16.exe  - Deleted
C:\WINDOWS2\rundll32.vbe  - Deleted
C:\WINDOWS2\searchword.dll  - Deleted
C:\WINDOWS2\sistem.exe  - Deleted
C:\WINDOWS2\svchost32.exe  - Deleted
C:\WINDOWS2\svcinit.exe  - Deleted
C:\WINDOWS2\systeem.exe  - Deleted
C:\WINDOWS2\systemcritical.exe  - Deleted
C:\WINDOWS2\system32\hljwugsf.bin  - Deleted
C:\WINDOWS2\system32\msnav32.ax  - Deleted
C:\WINDOWS2\system32\pac.txt  - Deleted
C:\WINDOWS2\system32\zxdnt3d.cfg  - Deleted
C:\WINDOWS2\time.exe  - Deleted
C:\WINDOWS2\users32.exe  - Deleted
C:\WINDOWS2\waol.exe  - Deleted
C:\WINDOWS2\win32e.exe  - Deleted
C:\WINDOWS2\win64.exe  - Deleted
C:\WINDOWS2\winajbm.dll  - Deleted
C:\WINDOWS2\window.exe  - Deleted
C:\WINDOWS2\winmgnt.exe  - Deleted
C:\WINDOWS2\xplugin.dll  - Deleted
C:\WINDOWS2\xxxvideo.hta  - Deleted



Folder C:\Temp\1cb - Removed
Folder C:\WINDOWS2\system32\netrax06 - Removed


Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 18:08:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bc,74,50,bb,29,2c,26,48,6e,90,45,0f,23,6f,4b,09,44,94,54,49,71,..
"p0"="e:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,01,72,9b,fc,ee,8e,84,28,a1,c7,99,01,5f,02,e3,ad,47,..
"khjeh"=hex:46,b3,0d,89,87,81,99,d6,be,3d,42,90,a1,72,7a,d8,d4,c9,8e,69,c5,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5d,81,4e,29,d5,b7,fb,12,39,87,0e,51,2e,94,cf,25,06,cf,56,be,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:ef,71,d5,10,0d,34,90,fa,af,20,84,d7,3b,79,a2,e3,5d,bf,71,28,d1,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{180B5377-FBCF-4C55-A837-A20177E9A3B9}]
"LeaseObtainedTime"=dword:48690472
"T1"=dword:486904f1
"T2"=dword:48690551
"LeaseTerminatesTime"=dword:48690571
"DhcpRetryTime"=dword:0000007c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{180B5377-FBCF-4C55-A837-A20177E9A3B9}\Parameters\Tcpip]
"LeaseObtainedTime"=dword:48690472
"T1"=dword:486904f1
"T2"=dword:48690551
"LeaseTerminatesTime"=dword:48690571
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bc,74,50,bb,29,2c,26,48,6e,90,45,0f,23,6f,4b,09,44,94,54,49,71,..
"p0"="e:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,01,72,9b,fc,ee,8e,84,28,a1,c7,99,01,5f,02,e3,ad,47,..
"khjeh"=hex:46,b3,0d,89,87,81,99,d6,be,3d,42,90,a1,72,7a,d8,d4,c9,8e,69,c5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5d,81,4e,29,d5,b7,fb,12,39,87,0e,51,2e,94,cf,25,06,cf,56,be,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:ef,71,d5,10,0d,34,90,fa,af,20,84,d7,3b,79,a2,e3,5d,bf,71,28,d1,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\7971f918-a847-4430-9279-4a52d1efe18d]
"FlushCacheFiles"=str(7):"C:\WINDOWS2\SoftwareDistribution\EventCache\{93815466-F996-4D13-9337-90139E7BAF63}.bin\0"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"E:\\Programme\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"="E:\\Programme\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe:*:Disabled:Test Drive Unlimited"
"E:\\mIRC2\\mirc.exe"="E:\\mIRC2\\mirc.exe:*:Enabled:mIRC"
"C:\\Dokumente und Einstellungen\\Piotr\\Desktop\\utorrent.exe"="C:\\Dokumente und Einstellungen\\Piotr\\Desktop\\utorrent.exe:*:Enabled:æTorrent"
"D:\\Bifrost1102\\Bifrost.exe"="D:\\Bifrost1102\\Bifrost.exe:*:Enabled:Bifrost 1.1.02"
"D:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"="D:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe:*:Disabled:CoD2MP_s"
"E:\\Programme\\Counter-Strike Source\\hl2.exe"="E:\\Programme\\Counter-Strike Source\\hl2.exe:*:Disabled:hl2"
"C:\\WINDOWS2\\system32\\sessmgr.exe"="C:\\WINDOWS2\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"E:\\Eigene Dateien\\Downloads\\utorrent.exe"="E:\\Eigene Dateien\\Downloads\\utorrent.exe:*:Enabled:æTorrent"
"E:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe"="E:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
"D:\\Programme\\Xfire\\xfire.exe"="D:\\Programme\\Xfire\\xfire.exe:*:Enabled:Xfire"
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\WINDOWS2\\system32\\PnkBstrA.exe"="C:\\WINDOWS2\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS2\\system32\\PnkBstrB.exe"="C:\\WINDOWS2\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"E:\\Programme\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"="E:\\Programme\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe:*:Enabled:il2fb"
"D:\\Programme\\Teamspeak2_RC2\\server_windows.exe"="D:\\Programme\\Teamspeak2_RC2\\server_windows.exe:*:Enabled:Server"
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"="E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe:*:Enabled:Autodesk 3ds Max 9 32-bit"
"E:\\Programme\\Autodesk\\Backburner\\monitor.exe"="E:\\Programme\\Autodesk\\Backburner\\monitor.exe:*:Enabled:backburner 2.3 monitor"
"E:\\Programme\\Autodesk\\Backburner\\manager.exe"="E:\\Programme\\Autodesk\\Backburner\\manager.exe:*:Enabled:backburner 2.3 manager"
"E:\\Programme\\Autodesk\\Backburner\\server.exe"="E:\\Programme\\Autodesk\\Backburner\\server.exe:*:Enabled:backburner 2.3 server"
"D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"E:\\steam\\SteamApps\\dej0k\\counter-strike source\\hl2.exe"="E:\\steam\\SteamApps\\dej0k\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"D:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe"="D:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe:*:Enabled:Mass Effect Game"
"D:\\Programme\\Mass Effect\\MassEffectLauncher.exe"="D:\\Programme\\Mass Effect\\MassEffectLauncher.exe:*:Enabled:Mass Effect Launcher"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"="E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\sdf\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu  5 Aug 2004        93,184 A.SH. --- "C:\Programme\Internet Explorer\IEXPLORE.EXE"
Wed  4 Aug 2004    1,667,584 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Thu  5 Aug 2004        60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Thu 31 Jan 2008            1 A..H. --- "C:\WINDOWS2\system32\m3.dll"
Sat 20 May 2006        4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu  9 Aug 2007          400 A..H. --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\COH32LU.reg"
Thu  9 Aug 2007          403 A..H. --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\COHDLU.reg"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\0084264f26c662f969f9b81e8bee00c8\BITD.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\00f052c5befa6e7931eb8b96fd6ad4f1\BIT33.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\01ee854ee422052627a437522496bc37\BIT36.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\0596fcbb5eea970a173c0eac354bf1d9\BIT16.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\083aaff7e575bc6fde52f83e8a935f86\BIT3E.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\0cdf5aa97e5ffc0713c3b6e70cea0f00\BIT29.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\1396092856ab3cc7cca0028beb019a2f\BIT44.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\15f7fe6ddfa8f1f077bff31f446d8878\BIT4C.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\16bda69ae29d6695a8459e66d56407f8\BIT3A.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\1e29452e9f4e79aa8b6dfcaf6ba19b6a\BIT30.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\259c22d21906c83d517859bc6ad73ce8\BIT59.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\2ac354659614029836a3e6f43f478d68\BIT28.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\317cbaeac161da6a7739ab4fbf9070ff\BIT38.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\3610dec4f7f2daaa4db1df3b5a032304\BIT5B.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\BIT14.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\38f484af284cb8ebd4f6d3803ede2926\BIT56.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\3c3b813206c6342176f2c812546d5bb1\BIT57.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\3faeae7e2a33d971e1a8526e4a59a85c\BIT10.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\4029039535759c722b7acff441b18d0b\BIT61.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\4692579c114f583cd10a441ca224d3e8\BIT5E.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\4778fd96a1cd9ab49a941b4a4fa44eb6\BIT46.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\48d7482b1d9e2d905df204e7d3c0d079\BIT40.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\4e378c0d02c2d63153b2dbecfbf428cb\BIT31.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\57915bf46dceaaaa017274f5f04355e8\BIT25.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\5e3cd7ad00fc73e7626bc7aedfeba6cb\BIT5F.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\5f5abb48b9f664155b1723c1d5b32d01\BIT58.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\609d25af60eb543796c249abe1ed209d\BITF.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\6284a5d76642c09e947df08f70ccce6e\BIT21.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\64b75c739e8bea92c459e091ce20174d\BIT22.tmp"
Tue 12 Apr 2005      495,856 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\6c3ddc55662798f57efea717622730e0\BITA.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\6ee6b6b18d262af729ff44815400f861\BIT32.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\6f5fddda9eac62aaee5ae1749210a687\BIT4B.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\6fbe1d2f39799d8c255a970ffd1e9283\BIT49.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\7225ecdfbff12eed295571e1551be31f\BIT47.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\7486f524e6d79a4ee13d610d81b2edf1\BIT35.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\74e7b56e3c27bb5ef8ba3480d4452dde\BIT41.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\753f6a16d5b6c39073bde15625ecebd4\BIT53.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\7dc9202eafb9473a1fdfe11b31e91fac\BIT45.tmp"
Wed 21 Nov 2007      102,363 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\7f9462678a1b0e101d4e619222a9f2b6\BITB.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\800cd475826cb17c03741670a52b631c\BIT42.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\810058fd2d77f0cf8daa1d5915f48165\BIT27.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\811d0bc79ada8563978f2de127745e7e\BIT3B.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\83697ca01a28a784dac28ffe911e4718\BIT52.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\87a3b7b1195c56672b75a664b0c99cfc\BIT43.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\87cb74642d8aa2bfcca4b2bb2aad7821\BIT4A.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\88b3454815e7a4ab59a23d7c8aa7fd46\BIT11.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\89ccc7fe4cb6a92e138d9d188e842362\BIT18.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\8c7ed0f72d7b536a2c7734749d17ab99\BIT3F.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\955d966c133aca79932d97cdbc4330a7\BIT39.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\965ec1d764cc52aa7bf7d5359e66ca2f\BIT15.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\99064c38616fceeaddb7aa64b8dcc8d0\BIT17.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\99c51481798b2d269b887cb400b51075\BIT1B.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\9b45d60493988113998e78e58377d0a4\BIT5A.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\9dca849b10265480e3346c7d17effb20\BIT19.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\a1bb22db6ed3652f407110ba089d6a65\BIT1A.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\a3ddff2de0dcd5efdeca0f308558337a\BITE.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\a3f97c00be5b8d64876d942170315fc4\BIT1F.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\a766ace328326047549c5573e43c971b\BIT54.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\abcc0a23664c4b24f70cdfa49d55a743\BIT48.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\b7252dda9ae26d1f51a207f5f37c0ff0\BIT24.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\c1ce7b521db91b809f9bc6887ac02083\BIT13.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\c4ffee33241fb6986a193b7038720a6c\BIT26.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\caf914156b1478c3e13d89361611d584\BIT55.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\cb3333e0e03bf33c3930d433c174e26a\BIT2E.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\cb3782ee830d2a14764ec095cd74b675\BIT5D.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\cbabbccf695cda187956ab6d8ca7aace\BIT50.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\cc60d8716d384e35a0e06fa6ac381a18\BIT2A.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\cf34e12a230ff8f1e42f35d85899f37b\BIT3D.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\d01ca2518af4a85a2dc5060b161ee5f6\BIT1D.tmp"
Fri  2 Jun 2006      152,639 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\d39902eaba4d84f5a7ec2911a1cbb733\BITC.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\d4010282bbbb8247de5e976e13ac40ec\BIT4F.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\d5a87b0204732e7febf0392e86a3fc6f\BIT20.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\d6aaa62167b1b79774753622689b8c5a\BIT37.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\d6f0e1059d4bfbd10bb4ded748522a4a\BIT1E.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\dd58b634720564157c1131aa15e51efb\BIT12.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\ddd0a37240e2a972992633423704f44f\BIT3C.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\e151f643b8942dc1dc7b8ebdf480cdd1\BIT34.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\e4456fa897a5df02d9f030e6947ad888\BIT51.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\e66c3d40f916fb5899ac5cce79d80378\BIT2F.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\eab7b615fada844df79cd343c42aeb28\BIT4E.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\f3fd5d8ebb6d66f3b5b206e5bac9c21d\BIT4D.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\f5eb138040582918e2e6dc22db7ce9f8\BIT1C.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\f7e4bed1a8eeb4c4f45ed67875e11889\BIT5C.tmp"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\f87aff22d68bf2248e77458c0bebaba3\BIT23.tmp"
Sun  9 Mar 2008        1,977 ...HR --- "C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\f171751d6f04c22273e2b69e325c79c6\download\BIT2D.tmp"

Finished!

m1n1g1n 30.06.2008 18:41
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:40, on 30.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\Ati2evxx.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS2\Explorer.EXE
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS2\system32\spoolsv.exe
E:\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS2\system32\PnkBstrA.exe
C:\WINDOWS2\system32\svchost.exe
D:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS2\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS2\system32\Rundll32.exe
C:\WINDOWS2\system32\rundll32.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\Programme\Microsoft ActiveSync\Wcescomm.exe
E:\steam\Steam.exe
D:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Piotr\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {03509542-D055-49E5-B6A1-B8182C972303} - C:\WINDOWS2\system32\clusap.dll
O2 - BHO: (no name) - {07BAC470-2416-460C-8E12-5FB2F75D5114} - C:\WINDOWS2\system32\hgGayWPJ.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {d19abb6e-8ddf-7758-3c24-acb323763aeb} - {bea36732-3bca-42c3-8577-fdd8e6bba91d} - C:\WINDOWS2\system32\hnaita.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\nav\osCheck.exe"
O4 - HKLM\..\Run: [a092f77f] rundll32.exe "C:\WINDOWS2\system32\ecjkeojm.dll",b
O4 - HKLM\..\Run: [BMa3a1c4e3] Rundll32.exe "C:\WINDOWS2\system32\aqlrrgid.dll",s
O4 - HKCU\..\Run: [DAEMON Tools Lite] "e:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [Steam] E:\steam\\Steam.exe -silent
O4 - Startup: Deewoo.lnk = C:\WINDOWS2\system32\tcntaxdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS2\system32\rwwnw64d.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - D:\PROGRA~1\PACIFI~2\pacificpoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxx://xxx.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199174721687
O17 - HKLM\System\CCS\Services\Tcpip\..\{95CFD8B9-BD84-47B8-989E-372A6FB1A1B8}: NameServer = 192.168.178.1
O21 - SSODL: lazehqvy - {aaa7f23b-3fd7-43aa-8bf3-c1664187ce0c} - C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\lazehqvy.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS2\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS2\system32\PnkBstrA.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 7889 bytes

undoreal 30.06.2008 18:46
Hallöle.


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Lasse Silentrunners laufen und poste das logFile

9) Führe einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

10) Systemanalyse:
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist benne die erstellte avz_sysinfo.zip um in avz_sysinfo.zip.txt und hänge sie an deinen nächsten Post an.

m1n1g1n 30.06.2008 19:04
Hallo Leute,

also ich hab grade ein reboot gemacht und festgestellt das mein PC erneut Verbidnungen aufbaut und das Webseiten Problem besteht wieder.

Ausserdem hab ich nun genauer notiert was AntiVir blockiert, hier eine Liste:

- TR/Vundo.ewz.26 (dlgfjare.dll) beim starten von Firefox
- TR/ATRAPS.Gen (clusap.dll) beim öffnen des Arbeitsplatzes vom Desktop aus.
- TR/Vundo.ews.71 (ecjkeojm.dll) beim starten von Hijackthis.
- TR/Monder.aeo (rnsetpsh.dll) beim surfen mit Firefox.
- TR/Vundo.ewz.xx (xx = viele Abwandlungen beim Surfen mit Firefox)

Undoreal, danke für deine schnelle Antwort. Ich das alles denn nötig? Kann man vielleicht schon jetzt das Problem etwas eingrenzen? Das hört sich für mich nach einer Standartprozedur an, die angewendet wird wenn das Problem unklar ist :-) Ich will eigentlich eine Neuinstallation des Systems vermeiden, aber langsam frage ich mich was weniger Aufwand verursacht.

Noch eine Frage: Soll ich SDFix nochmal ausführen? Wieso sind die Fehler die SDFix behoben hat wieder da. :-( Was kann ich dagegen tun?

Sunny 30.06.2008 19:10
Versuche es doch zuerst mal hiermit:


ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

m1n1g1n 30.06.2008 19:50
Ich hab die Anleitung befolgt und combofix ausgeführt. Allerdings hab ich Antivir und Norton nicht deinstalliert nur deaktiviert. Jedenfalls lief alles glatt erstmal, doch nach dem Reboot hat combofix keine Log erstellt! Es kam nur ne Meldung "... Datei kann nicht gefunden werden..". Ich nehme an so war das nicht gewollt? :-)

Was hab ich falsch gemacht?

Sunny 30.06.2008 19:54
Deaktivieren war genau richtig! ;)

Das Log sollte hier zu finden sein -> c:\combofix.txt

Sollte sie dort nicht aufzufinden sein, führe Combofix nochmal aus.

m1n1g1n 30.06.2008 20:03
So nun hat es geklappt! in der Log tauchen die dll's auf die Antivir mir andauernd meldet.

Code:
ComboFix 08-06-20.4 - Piotr 2008-06-30 20:58:44.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1108 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Piotr\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS2\pskt.ini
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\NetMon\log.txt
C:\WINDOWS2\BMa3a1c4e3.xml
C:\WINDOWS2\cookies.ini
C:\WINDOWS2\mainms.vpi
C:\WINDOWS2\pskt.ini
C:\WINDOWS2\system32\bpesmwnx.ini
C:\WINDOWS2\system32\clusap.dll
C:\WINDOWS2\system32\fccdbabB.dll
C:\WINDOWS2\system32\fvrwpjnw.ini
C:\WINDOWS2\system32\hgGayWPJ.dll
C:\WINDOWS2\system32\iiffFwwx.dll
C:\WINDOWS2\system32\JPWyaGgh.ini
C:\WINDOWS2\system32\JPWyaGgh.ini2
C:\WINDOWS2\system32\kckiuedr.ini
C:\WINDOWS2\system32\mcrh.tmp
C:\WINDOWS2\system32\mjoekjce.ini
C:\WINDOWS2\system32\MSINET.oca
C:\WINDOWS2\system32\ovjxdyrp.ini
C:\WINDOWS2\system32\pmnkifed.dll
C:\WINDOWS2\system32\qykuugrm.ini
C:\WINDOWS2\system32\SsrCKRqr.ini
C:\WINDOWS2\system32\SsrCKRqr.ini2
C:\WINDOWS2\system32\urqOfCtr.dll
C:\WINDOWS2\system32\winpfz33.sys

.
(((((((((((((((((((((((  Dateien erstellt von 2008-05-28 bis 2008-06-30  ))))))))))))))))))))))))))))))
.

2008-06-30 20:58 . 2008-06-30 20:58        0        --a------        C:\WINDOWS2\BMa3a1c4e3.xml
2008-06-30 20:35 . 2008-06-30 20:35        <DIR>        d--------        C:\WINDOWS2\LastGood
2008-06-30 20:20 . 2008-06-30 20:20        <DIR>        d--------        C:\Programme\CCleaner
2008-06-30 18:08 . 2007-07-30 19:19        271,224        --a------        C:\WINDOWS2\system32\mucltui.dll
2008-06-30 18:08 . 2007-07-30 19:19        207,736        --a------        C:\WINDOWS2\system32\muweb.dll
2008-06-30 18:08 . 2007-07-30 19:18        30,072        --a------        C:\WINDOWS2\system32\mucltui.dll.mui
2008-06-30 18:00 . 2008-06-30 18:01        <DIR>        d--------        C:\WINDOWS2\ERUNT
2008-06-30 17:53 . 2008-06-30 17:53        <DIR>        d--------        C:\sdf
2008-06-30 17:52 . 2008-06-30 17:52        103,424        --a------        C:\WINDOWS2\system32\lknnkpfe.dll
2008-06-30 17:52 . 2008-06-30 17:52        103,424        --a------        C:\WINDOWS2\system32\hnaita.dll
2008-06-30 17:49 . 2008-06-30 17:49        40,960        --a------        C:\WINDOWS2\system32\ktnjqoep.dll
2008-06-30 17:46 . 2008-06-30 17:46        91,136        --a------        C:\WINDOWS2\system32\aqlrrgid.dll
2008-06-30 17:46 . 2008-06-30 17:46        81,920        --a------        C:\WINDOWS2\system32\ecjkeojm.dll
2008-06-28 18:06 . 2008-06-28 18:06        103,424        --a------        C:\WINDOWS2\system32\hnqjha.dll
2008-06-28 18:06 . 2008-06-28 18:06        103,424        --a------        C:\WINDOWS2\system32\dlgfjare.dll
2008-06-28 17:57 . 2008-06-28 17:57        40,960        --a------        C:\WINDOWS2\system32\eolpnmpi.dll
2008-06-28 17:51 . 2008-06-28 17:51        90,624        --a------        C:\WINDOWS2\system32\qtansnjn.dll
2008-06-27 17:59 . 2008-06-27 17:59        103,424        --a------        C:\WINDOWS2\system32\oivcgeub.dll
2008-06-27 17:59 . 2008-06-27 17:59        103,424        --a------        C:\WINDOWS2\system32\gqfbvb.dll
2008-06-27 17:53 . 2008-06-27 17:53        40,960        --a------        C:\WINDOWS2\system32\yknlrqsb.dll
2008-06-27 17:51 . 2008-06-27 17:51        90,624        --a------        C:\WINDOWS2\system32\dqueorqv.dll
2008-06-27 17:29 . 2008-06-27 17:29        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Symantec
2008-06-27 17:27 . 2008-06-27 17:27        <DIR>        d--------        C:\Programme\Windows Sidebar
2008-06-27 17:26 . 2008-06-29 19:06        123,952        --a------        C:\WINDOWS2\system32\drivers\SYMEVENT.SYS
2008-06-27 17:26 . 2008-06-29 19:06        60,800        --a------        C:\WINDOWS2\system32\S32EVNT1.DLL
2008-06-27 17:26 . 2008-06-29 19:06        10,671        --a------        C:\WINDOWS2\system32\drivers\SYMEVENT.CAT
2008-06-27 17:26 . 2008-06-29 19:06        805        --a------        C:\WINDOWS2\system32\drivers\SYMEVENT.INF
2008-06-27 17:25 . 2008-06-29 19:06        <DIR>        d--------        C:\Programme\Symantec
2008-06-27 17:25 . 2008-06-30 20:03        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Symantec
2008-06-27 17:15 . 2008-06-27 17:15        <DIR>        d--------        C:\Programme\Neuer Ordner
2008-06-27 17:15 . 2008-06-29 19:38        <DIR>        d--------        C:\Programme\nav
2008-06-27 17:04 . 2008-06-27 17:04        103,424        --a------        C:\WINDOWS2\system32\rnbldp.dll
2008-06-27 17:04 . 2008-06-27 17:04        103,424        --a------        C:\WINDOWS2\system32\lptuvwgy.dll
2008-06-27 17:04 . 2008-06-27 17:04        81,920        --a------        C:\WINDOWS2\system32\prydxjvo.dll
2008-06-27 17:04 . 2008-06-27 17:04        40,960        --a------        C:\WINDOWS2\system32\qettbdwb.dll
2008-06-27 17:03 . 2008-06-27 17:03        92,160        --a------        C:\WINDOWS2\system32\pecjnnxy.dll
2008-06-26 16:48 . 2008-06-26 16:48        40,960        --a------        C:\WINDOWS2\system32\axpdbfmn.dll
2008-06-26 16:46 . 2008-06-26 16:46        91,648        --a------        C:\WINDOWS2\system32\rnsetpsh.dll
2008-06-25 21:44 . 2008-06-25 21:44        9,662        --a------        C:\WINDOWS2\system32\pinkip.ico
2008-06-25 21:18 . 2008-06-25 21:18        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\MathWorks
2008-06-25 21:16 . 2008-06-25 21:16        645,120        --a------        C:\WINDOWS2\system32\config.gms
2008-06-25 21:16 . 2004-03-01 23:05        407,104        --a------        C:\WINDOWS2\system32\MSHFLXGD.OCX
2008-06-25 21:07 . 2008-06-25 21:07        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Avira
2008-06-25 20:43 . 2008-06-25 21:35        <DIR>        d--------        C:\WINDOWS2\system32\HRI
2008-06-25 20:43 . 2008-06-25 21:35        <DIR>        d--------        C:\WINDOWS2\system32\gov
2008-06-25 20:43 . 2008-06-25 21:35        <DIR>        d--------        C:\WINDOWS2\system32\cert
2008-06-25 20:43 . 2008-06-25 20:44        <DIR>        d--------        C:\Temp\itmp4
2008-06-25 20:43 . 2008-06-30 18:08        <DIR>        d--------        C:\Temp
2008-06-25 20:43 . 2008-06-25 20:43        <DIR>        dr-------        C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Favoriten
2008-06-25 20:43 . 2008-06-25 20:43        <DIR>        dr-------        C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Favoriten
2008-06-25 20:43 . 2008-06-25 20:43        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\Xfire
2008-06-25 20:43 . 2008-06-25 20:43        110,592        --a------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\lazehqvy.dll
2008-06-13 17:29 . 2008-06-13 17:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\FLEXnet
2008-06-13 17:25 . 2008-06-13 17:25        <DIR>        d--------        C:\Programme\Bonjour
2008-06-13 17:03 . 2008-06-13 17:03        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\BioWare
2008-06-13 16:55 . 2008-06-13 16:55        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-13 14:45 . 2008-06-13 14:45        579,464        --a------        C:\WINDOWS2\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45        207,240        --a------        C:\WINDOWS2\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14        31,280        --a------        C:\WINDOWS2\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14        13,093        --a------        C:\WINDOWS2\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14        1,611        --a------        C:\WINDOWS2\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13        184,240        --a------        C:\WINDOWS2\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13        96,432        --a------        C:\WINDOWS2\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13        41,008        --a------        C:\WINDOWS2\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13        38,576        --a------        C:\WINDOWS2\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13        37,424        --a------        C:\WINDOWS2\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13        22,320        --a------        C:\WINDOWS2\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13        13,616        --a------        C:\WINDOWS2\system32\drivers\symdns.sys
2008-06-12 01:55 . 2008-06-12 01:55        41,296        --a------        C:\WINDOWS2\system32\xfcodec.dll
2008-06-02 20:10 . 2008-06-02 20:10        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\TortoiseSVN
2008-05-15 22:17 . 2008-05-15 22:17        <DIR>        d--------        C:\Programme\OpenOffice.org 2.4
2008-05-12 22:49 . 2008-05-12 22:50        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Armagetron
2008-05-12 22:49 . 2008-05-12 22:49        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Armagetron
2008-05-12 22:34 . 2008-05-12 22:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\streamripper
2008-05-12 22:27 . 2008-05-12 22:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Winamp

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:29        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-30 18:25        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\DAEMON Tools
2008-06-30 17:58        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Google Updater
2008-06-28 15:04        22,328        ----a-w        C:\WINDOWS2\system32\drivers\PnkBstrK.sys
2008-06-28 15:02        107,832        ----a-w        C:\WINDOWS2\system32\PnkBstrB.exe
2008-06-28 13:10        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\OpenOffice.org2
2008-06-27 00:14        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Xfire
2008-06-22 22:33        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\uTorrent
2008-06-18 15:46        ---------        d-----w        C:\Programme\DivX
2008-06-18 15:43        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real
2008-06-15 14:46        66,872        ----a-w        C:\WINDOWS2\system32\PnkBstrA.exe
2008-06-13 18:32        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-06-13 15:25        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-05-15 20:15        ---------        d-----w        C:\Programme\Java
2008-03-08 14:11        108,144        ----a-w        C:\WINDOWS2\system32\CmdLineExt.dll
2008-03-05 15:03        479,752        ----a-w        C:\WINDOWS2\system32\XAudio2_0.dll
2008-03-05 15:03        238,088        ----a-w        C:\WINDOWS2\system32\xactengine3_0.dll
2008-03-05 15:00        25,608        ----a-w        C:\WINDOWS2\system32\X3DAudio1_3.dll
2008-03-05 14:56        3,952,144        ----a-w        C:\WINDOWS2\system32\D3DX9d_37.dll
2008-03-05 14:56        3,786,760        ----a-w        C:\WINDOWS2\system32\D3DX9_37.dll
2008-03-05 14:56        1,420,824        ----a-w        C:\WINDOWS2\system32\D3DCompiler_37.dll
2008-01-01 05:52        22,328        ----a-w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\PnkBstrK.sys
2006-05-11 17:43        457        -c--a-w        C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((((  snapshot@2008-06-30_20.37.23.75  )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-06-27 23:33        116088        --a------        C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bea36732-3bca-42c3-8577-fdd8e6bba91d}]
2008-06-30 17:52        103424        --a------        C:\WINDOWS2\system32\hnaita.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@={30351346-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@={30351347-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@={30351348-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@={3035134B-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@={3035134C-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@={3035134D-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@={3035134E-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="e:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 15:54 486856]
"H/PC Connection Agent"="D:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:50 1289000]
"Steam"="E:\steam\\Steam.exe" [2008-05-27 00:04 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 06:12 577536 C:\WINDOWS2\soundman.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"Adobe Reader Speed Launcher"="E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Programme\nav\osCheck.exe" [2007-08-25 06:53 714608]
"BMa3a1c4e3"="C:\WINDOWS2\system32\aqlrrgid.dll" [2008-06-30 17:46 91136]

C:\Dokumente und Einstellungen\All Users.WINDOWS2\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-22 20:00:38 124400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"lazehqvy"= {aaa7f23b-3fd7-43aa-8bf3-c1664187ce0c} - C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\lazehqvy.dll [2008-06-25 20:43 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\mIRC2\\mirc.exe"=
"C:\\WINDOWS2\\system32\\sessmgr.exe"=
"E:\\Eigene Dateien\\Downloads\\utorrent.exe"=
"E:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"D:\\Programme\\Xfire\\xfire.exe"=
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS2\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS2\\system32\\PnkBstrB.exe"=
"E:\\Programme\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"=
"D:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"E:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"E:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"E:\\Programme\\Autodesk\\Backburner\\server.exe"=
"D:\Programme\Microsoft ActiveSync\rapimgr.exe"= D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\Programme\Microsoft ActiveSync\wcescomm.exe"= D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\Programme\Microsoft ActiveSync\WCESMgr.exe"= D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"E:\\steam\\SteamApps\\dej0k\\counter-strike source\\hl2.exe"=
"D:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe"=
"D:\\Programme\\Mass Effect\\MassEffectLauncher.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4333:TCP"= 4333:TCP:torrent
"4333:UDP"= 4333:UDP:4333
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
S3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS2\system32\drivers\als4000.sys [2001-10-22 05:46]
S3 COH_Mon;COH_Mon;C:\WINDOWS2\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;"E:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c818edb-b813-11dc-adfa-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb21826c-b814-11dc-84d8-000d6136d7e2}]
\Shell\AutoRun\command - H:\Autorun.exe

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-06-30 18:09:47 C:\WINDOWS2\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Piotr.job"
- C:\Programme\nav\Norton AntiVirus\Navw32.exeu/TASK:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 20:59:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 21:00:58
ComboFix-quarantined-files.txt  2008-06-30 19:00:44

              8 Verzeichnis(se),  2,856,779,776 Bytes frei
              12 Verzeichnis(se),  2,847,670,272 Bytes frei

270

Sunny 30.06.2008 20:29
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:

http://www.trojaner-board.de/55066-hilfe-trojaner-blauer-desktop-hintergrund-mit-warnmeldung-warning-spyware-detected.html

Collect::
C:\WINDOWS2\BMa3a1c4e3.xml
C:\WINDOWS2\system32\lknnkpfe.dll
C:\WINDOWS2\system32\hnaita.dll
C:\WINDOWS2\system32\ktnjqoep.dll
C:\WINDOWS2\system32\aqlrrgid.dll
C:\WINDOWS2\system32\ecjkeojm.dll
C:\WINDOWS2\system32\hnqjha.dll
C:\WINDOWS2\system32\dlgfjare.dll
C:\WINDOWS2\system32\eolpnmpi.dll
C:\WINDOWS2\system32\qtansnjn.dll
C:\WINDOWS2\system32\oivcgeub.dll
C:\WINDOWS2\system32\gqfbvb.dll
C:\WINDOWS2\system32\yknlrqsb.dll
C:\WINDOWS2\system32\dqueorqv.dll
C:\WINDOWS2\system32\rnbldp.dll
C:\WINDOWS2\system32\lptuvwgy.dll
C:\WINDOWS2\system32\prydxjvo.dll
C:\WINDOWS2\system32\qettbdwb.dll
C:\WINDOWS2\system32\pecjnnxy.dll
C:\WINDOWS2\system32\axpdbfmn.dll
C:\WINDOWS2\system32\rnsetpsh.dll
C:\WINDOWS2\system32\pinkip.ico
C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\lazehqvy.dll


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bea36732-3bca-42c3-8577-fdd8e6bba91d}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMa3a1c4e3"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"lazehqvy"=-
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif


Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

m1n1g1n 30.06.2008 22:15
Ich hab alle aktionen wie beschrieben durchgeführt.

Hier die Log von Combofix:

Code:
ComboFix 08-06-20.4 - Piotr 2008-06-30 21:40:13.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1089 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Piotr\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((  Dateien erstellt von 2008-05-28 bis 2008-06-30  ))))))))))))))))))))))))))))))
.

2008-06-30 20:58 . 2008-06-30 20:58        0        --a------        C:\WINDOWS2\BMa3a1c4e3.xml
2008-06-30 20:20 . 2008-06-30 20:20        <DIR>        d--------        C:\Programme\CCleaner
2008-06-30 18:08 . 2007-07-30 19:19        271,224        --a------        C:\WINDOWS2\system32\mucltui.dll
2008-06-30 18:08 . 2007-07-30 19:19        207,736        --a------        C:\WINDOWS2\system32\muweb.dll
2008-06-30 18:08 . 2007-07-30 19:18        30,072        --a------        C:\WINDOWS2\system32\mucltui.dll.mui
2008-06-30 18:00 . 2008-06-30 18:01        <DIR>        d--------        C:\WINDOWS2\ERUNT
2008-06-30 17:53 . 2008-06-30 17:53        <DIR>        d--------        C:\sdf
2008-06-30 17:52 . 2008-06-30 17:52        103,424        --a------        C:\WINDOWS2\system32\hnaita.dll
2008-06-27 17:29 . 2008-06-27 17:29        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Symantec
2008-06-27 17:27 . 2008-06-27 17:27        <DIR>        d--------        C:\Programme\Windows Sidebar
2008-06-27 17:26 . 2008-06-29 19:06        123,952        --a------        C:\WINDOWS2\system32\drivers\SYMEVENT.SYS
2008-06-27 17:26 . 2008-06-29 19:06        60,800        --a------        C:\WINDOWS2\system32\S32EVNT1.DLL
2008-06-27 17:26 . 2008-06-29 19:06        10,671        --a------        C:\WINDOWS2\system32\drivers\SYMEVENT.CAT
2008-06-27 17:26 . 2008-06-29 19:06        805        --a------        C:\WINDOWS2\system32\drivers\SYMEVENT.INF
2008-06-27 17:25 . 2008-06-29 19:06        <DIR>        d--------        C:\Programme\Symantec
2008-06-27 17:25 . 2008-06-30 20:03        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Symantec
2008-06-27 17:15 . 2008-06-27 17:15        <DIR>        d--------        C:\Programme\Neuer Ordner
2008-06-27 17:15 . 2008-06-29 19:38        <DIR>        d--------        C:\Programme\nav
2008-06-26 16:48 . 2008-06-26 16:48        40,960        --a------        C:\WINDOWS2\system32\axpdbfmn.dll
2008-06-25 21:44 . 2008-06-25 21:44        9,662        --a------        C:\WINDOWS2\system32\pinkip.ico
2008-06-25 21:18 . 2008-06-25 21:18        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\MathWorks
2008-06-25 21:16 . 2008-06-25 21:16        645,120        --a------        C:\WINDOWS2\system32\config.gms
2008-06-25 21:16 . 2004-03-01 23:05        407,104        --a------        C:\WINDOWS2\system32\MSHFLXGD.OCX
2008-06-25 21:07 . 2008-06-25 21:07        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Avira
2008-06-25 20:43 . 2008-06-25 21:35        <DIR>        d--------        C:\WINDOWS2\system32\HRI
2008-06-25 20:43 . 2008-06-25 21:35        <DIR>        d--------        C:\WINDOWS2\system32\gov
2008-06-25 20:43 . 2008-06-25 21:35        <DIR>        d--------        C:\WINDOWS2\system32\cert
2008-06-25 20:43 . 2008-06-25 20:44        <DIR>        d--------        C:\Temp\itmp4
2008-06-25 20:43 . 2008-06-30 18:08        <DIR>        d--------        C:\Temp
2008-06-25 20:43 . 2008-06-25 20:43        <DIR>        dr-------        C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Favoriten
2008-06-25 20:43 . 2008-06-25 20:43        <DIR>        dr-------        C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Favoriten
2008-06-25 20:43 . 2008-06-25 20:43        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\Xfire
2008-06-25 20:43 . 2008-06-25 20:43        110,592        --a------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\lazehqvy.dll
2008-06-13 17:29 . 2008-06-13 17:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\FLEXnet
2008-06-13 17:25 . 2008-06-13 17:25        <DIR>        d--------        C:\Programme\Bonjour
2008-06-13 17:03 . 2008-06-13 17:03        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\BioWare
2008-06-13 16:55 . 2008-06-13 16:55        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-13 14:45 . 2008-06-13 14:45        579,464        --a------        C:\WINDOWS2\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45        207,240        --a------        C:\WINDOWS2\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14        31,280        --a------        C:\WINDOWS2\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14        13,093        --a------        C:\WINDOWS2\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14        1,611        --a------        C:\WINDOWS2\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13        184,240        --a------        C:\WINDOWS2\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13        96,432        --a------        C:\WINDOWS2\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13        41,008        --a------        C:\WINDOWS2\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13        38,576        --a------        C:\WINDOWS2\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13        37,424        --a------        C:\WINDOWS2\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13        22,320        --a------        C:\WINDOWS2\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13        13,616        --a------        C:\WINDOWS2\system32\drivers\symdns.sys
2008-06-12 01:55 . 2008-06-12 01:55        41,296        --a------        C:\WINDOWS2\system32\xfcodec.dll
2008-06-02 20:10 . 2008-06-02 20:10        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\TortoiseSVN
2008-05-15 22:17 . 2008-05-15 22:17        <DIR>        d--------        C:\Programme\OpenOffice.org 2.4
2008-05-12 22:49 . 2008-05-12 22:50        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Armagetron
2008-05-12 22:49 . 2008-05-12 22:49        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Armagetron
2008-05-12 22:34 . 2008-05-12 22:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\streamripper
2008-05-12 22:27 . 2008-05-12 22:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Winamp

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 19:38        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-30 18:25        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\DAEMON Tools
2008-06-30 17:58        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Google Updater
2008-06-28 15:04        22,328        ----a-w        C:\WINDOWS2\system32\drivers\PnkBstrK.sys
2008-06-28 13:10        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\OpenOffice.org2
2008-06-27 00:14        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\Xfire
2008-06-22 22:33        ---------        d-----w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\uTorrent
2008-06-18 15:46        ---------        d-----w        C:\Programme\DivX
2008-06-18 15:43        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real
2008-06-15 14:46        66,872        ----a-w        C:\WINDOWS2\system32\PnkBstrA.exe
2008-06-13 18:32        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-06-13 15:25        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-05-15 20:15        ---------        d-----w        C:\Programme\Java
2008-03-08 14:11        108,144        ----a-w        C:\WINDOWS2\system32\CmdLineExt.dll
2008-03-05 15:03        479,752        ----a-w        C:\WINDOWS2\system32\XAudio2_0.dll
2008-03-05 15:03        238,088        ----a-w        C:\WINDOWS2\system32\xactengine3_0.dll
2008-03-05 15:00        25,608        ----a-w        C:\WINDOWS2\system32\X3DAudio1_3.dll
2008-03-05 14:56        3,952,144        ----a-w        C:\WINDOWS2\system32\D3DX9d_37.dll
2008-03-05 14:56        3,786,760        ----a-w        C:\WINDOWS2\system32\D3DX9_37.dll
2008-03-05 14:56        1,420,824        ----a-w        C:\WINDOWS2\system32\D3DCompiler_37.dll
2008-01-01 05:52        22,328        ----a-w        C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\PnkBstrK.sys
2006-05-11 17:43        457        -c--a-w        C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((((  snapshot@2008-06-30_20.37.23.75  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-30 18:29:48        2,048        --s-a-w        C:\WINDOWS2\bootstat.dat
+ 2008-06-30 19:38:10        2,048        --s-a-w        C:\WINDOWS2\bootstat.dat
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-06-27 23:33        116088        --a------        C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@={30351346-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@={30351347-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@={30351348-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@={3035134B-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@={3035134C-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@={3035134D-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@={3035134E-7B7D-4FCC-81B4-1E394CA267EB}

[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-01-05 15:03        536576        --a------        D:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="e:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 15:54 486856]
"H/PC Connection Agent"="D:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:50 1289000]
"Steam"="E:\steam\\Steam.exe" [2008-05-27 00:04 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 06:12 577536 C:\WINDOWS2\soundman.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"Adobe Reader Speed Launcher"="E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
"osCheck"="C:\Programme\nav\osCheck.exe" [2007-08-25 06:53 714608]

C:\Dokumente und Einstellungen\All Users.WINDOWS2\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-22 20:00:38 124400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\mIRC2\\mirc.exe"=
"C:\\WINDOWS2\\system32\\sessmgr.exe"=
"E:\\Eigene Dateien\\Downloads\\utorrent.exe"=
"E:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"D:\\Programme\\Xfire\\xfire.exe"=
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS2\\system32\\PnkBstrA.exe"=
"E:\\Programme\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"=
"D:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"E:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"E:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"E:\\Programme\\Autodesk\\Backburner\\server.exe"=
"D:\Programme\Microsoft ActiveSync\rapimgr.exe"= D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\Programme\Microsoft ActiveSync\wcescomm.exe"= D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\Programme\Microsoft ActiveSync\WCESMgr.exe"= D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"E:\\steam\\SteamApps\\dej0k\\counter-strike source\\hl2.exe"=
"D:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe"=
"D:\\Programme\\Mass Effect\\MassEffectLauncher.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4333:TCP"= 4333:TCP:torrent
"4333:UDP"= 4333:UDP:4333
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
S3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS2\system32\drivers\als4000.sys [2001-10-22 05:46]
S3 COH_Mon;COH_Mon;C:\WINDOWS2\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;"E:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c818edb-b813-11dc-adfa-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb21826c-b814-11dc-84d8-000d6136d7e2}]
\Shell\AutoRun\command - H:\Autorun.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-06-30 18:09:47 C:\WINDOWS2\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Piotr.job"
- C:\Programme\nav\Norton AntiVirus\Navw32.exeu/TASK:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 21:41:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 21:43:52
ComboFix-quarantined-files.txt  2008-06-30 19:43:34
ComboFix2.txt  2008-06-30 19:00:58

              8 Verzeichnis(se),  2,831,388,672 Bytes frei
              12 Verzeichnis(se),  2,822,643,712 Bytes frei

215

m1n1g1n 30.06.2008 22:17
Hier die report.txt von SDFix:

Code:
SDFix: Version 1.199
Run by Piotr on 30.06.2008 at 21:54

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\sdf\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 21:59:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bc,74,50,bb,29,2c,26,48,6e,90,45,0f,23,6f,4b,09,44,94,54,49,71,..
"p0"="e:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,01,72,9b,fc,ee,8e,84,28,a1,c7,99,01,5f,02,e3,ad,47,..
"khjeh"=hex:46,b3,0d,89,87,81,99,d6,be,3d,42,90,a1,72,7a,d8,d4,c9,8e,69,c5,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5d,81,4e,29,d5,b7,fb,12,39,87,0e,51,2e,94,cf,25,06,cf,56,be,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:ef,71,d5,10,0d,34,90,fa,af,20,84,d7,3b,79,a2,e3,5d,bf,71,28,d1,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bc,74,50,bb,29,2c,26,48,6e,90,45,0f,23,6f,4b,09,44,94,54,49,71,..
"p0"="e:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,01,72,9b,fc,ee,8e,84,28,a1,c7,99,01,5f,02,e3,ad,47,..
"khjeh"=hex:46,b3,0d,89,87,81,99,d6,be,3d,42,90,a1,72,7a,d8,d4,c9,8e,69,c5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5d,81,4e,29,d5,b7,fb,12,39,87,0e,51,2e,94,cf,25,06,cf,56,be,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:ef,71,d5,10,0d,34,90,fa,af,20,84,d7,3b,79,a2,e3,5d,bf,71,28,d1,..

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS2\SoftwareDistribution\Download\06d1a7cd3761c3322e423f74548dcfe2\WindowsXP-KB890859-x86-express-DEU.exe 495856 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\0f8ec87e57b54d9cacac557d11654b6e\WindowsXP-KB914389-x86-express-DEU.cab 152639 bytes
C:\WINDOWS2\SoftwareDistribution\Download\917de8e53e0f6be5bfe4f9ed4db96202\WindowsXP-KB944653-x86-express-DEU.cab 102363 bytes
C:\WINDOWS2\SoftwareDistribution\Download\6c3ddc55662798f57efea717622730e0
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\backup
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\backup\sp2gdr
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\backup\sp2gdr\telnet.exe 77824 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\backup\sp2qfe
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\backup\sp2qfe\telnet.exe 77824 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\download
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\download\BIT79.tmp 6314 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\spmsg.dll 15584 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\spuninst.exe 213216 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\susdl.req 267 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\branches.inf 705 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\eula.txt 3954 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\KB896428.cat 10786 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\spcustom.dll 22240 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\update.exe 727776 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\update.url 5324 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\update.ver 291 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\updatebr.inf 592 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\update_SP1QFE.inf 8467 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\update_SP2GDR.inf 10192 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\update_SP2QFE.inf 10744 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\update\updspapi.dll 378080 bytes executable
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\WindowsXP-KB896428-x86-DEU.psm 833 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\_downloadprogress_.state 4 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\_file_to_execute_.txt 17 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\_unpacked_.state 34 bytes
C:\WINDOWS2\SoftwareDistribution\Download\38ed381904bc6fa416205d433a872197\_usedelta_.state 34 bytes
C:\WINDOWS2\KB930916.log 767 bytes
C:\WINDOWS2\KB935839.log 767 bytes
C:\WINDOWS2\KB935840.log 766 bytes
C:\WINDOWS2\KB938127.log 951 bytes
C:\WINDOWS2\KB943055.log 767 bytes
C:\WINDOWS2\KB943485.log 767 bytes
C:\WINDOWS2\KB944338.log 1201 bytes
C:\WINDOWS2\KB944653.log 766 bytes
C:\WINDOWS2\KB945553.log 766 bytes
C:\WINDOWS2\KB948590.log 766 bytes
C:\WINDOWS2\KB950749.log 769 bytes
C:\WINDOWS2\LastGood
C:\WINDOWS2\LastGood\INF
C:\WINDOWS2\LastGood\INF\oem21.inf 0 bytes
C:\WINDOWS2\LastGood\INF\oem21.PNF 0 bytes
C:\WINDOWS2\KB888302.log 782 bytes
C:\WINDOWS2\KB890859.log 776 bytes
C:\WINDOWS2\KB894391.log 767 bytes
C:\WINDOWS2\KB896428.log 765 bytes
C:\WINDOWS2\KB900725.log 767 bytes
C:\WINDOWS2\KB905749.log 766 bytes
C:\WINDOWS2\KB908519.log 766 bytes
C:\WINDOWS2\KB908531.log 769 bytes
C:\WINDOWS2\KB913580.log 767 bytes
C:\WINDOWS2\KB914389.log 767 bytes
C:\WINDOWS2\KB916595.log 766 bytes
C:\WINDOWS2\KB920213.log 767 bytes
C:\WINDOWS2\KB920683.log 766 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 60


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"E:\\Programme\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"="E:\\Programme\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe:*:Disabled:Test Drive Unlimited"
"E:\\mIRC2\\mirc.exe"="E:\\mIRC2\\mirc.exe:*:Enabled:mIRC"
"C:\\WINDOWS2\\system32\\sessmgr.exe"="C:\\WINDOWS2\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"E:\\Eigene Dateien\\Downloads\\utorrent.exe"="E:\\Eigene Dateien\\Downloads\\utorrent.exe:*:Enabled:æTorrent"
"E:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe"="E:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
"D:\\Programme\\Xfire\\xfire.exe"="D:\\Programme\\Xfire\\xfire.exe:*:Enabled:Xfire"
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="E:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\WINDOWS2\\system32\\PnkBstrA.exe"="C:\\WINDOWS2\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"E:\\Programme\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"="E:\\Programme\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe:*:Enabled:il2fb"
"D:\\Programme\\Teamspeak2_RC2\\server_windows.exe"="D:\\Programme\\Teamspeak2_RC2\\server_windows.exe:*:Enabled:Server"
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"="E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe:*:Enabled:Autodesk 3ds Max 9 32-bit"
"E:\\Programme\\Autodesk\\Backburner\\monitor.exe"="E:\\Programme\\Autodesk\\Backburner\\monitor.exe:*:Enabled:backburner 2.3 monitor"
"E:\\Programme\\Autodesk\\Backburner\\manager.exe"="E:\\Programme\\Autodesk\\Backburner\\manager.exe:*:Enabled:backburner 2.3 manager"
"E:\\Programme\\Autodesk\\Backburner\\server.exe"="E:\\Programme\\Autodesk\\Backburner\\server.exe:*:Enabled:backburner 2.3 server"
"D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"E:\\steam\\SteamApps\\dej0k\\counter-strike source\\hl2.exe"="E:\\steam\\SteamApps\\dej0k\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"D:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe"="D:\\Programme\\Mass Effect\\Binaries\\MassEffect.exe:*:Enabled:Mass Effect Game"
"D:\\Programme\\Mass Effect\\MassEffectLauncher.exe"="D:\\Programme\\Mass Effect\\MassEffectLauncher.exe:*:Enabled:Mass Effect Launcher"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"="E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="D:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="D:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="D:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu  5 Aug 2004        93,184 A.SH. --- "C:\Programme\Internet Explorer\IEXPLORE.EXE"
Wed  4 Aug 2004    1,667,584 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Thu  5 Aug 2004        60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Thu 31 Jan 2008            1 A..H. --- "C:\WINDOWS2\system32\m3.dll"
Sat 20 May 2006        4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu  9 Aug 2007          400 A..H. --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\COH32LU.reg"
Thu  9 Aug 2007          403 A..H. --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\COHDLU.reg"
Mon 30 Jun 2008            0 A..H. --- "C:\WINDOWS2\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT4.tmp"
Sun  9 Mar 2008        1,977 ...HR --- "C:\Dokumente und Einstellungen\Piotr\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

m1n1g1n 30.06.2008 22:18
Hier die Log von HiJackThis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:13:57, on 30.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\Ati2evxx.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\Ati2evxx.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS2\system32\spoolsv.exe
E:\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS2\system32\PnkBstrA.exe
C:\WINDOWS2\system32\svchost.exe
D:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS2\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
D:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS2\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Piotr\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\nav\osCheck.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "e:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [Steam] E:\steam\\Steam.exe -silent
O4 - S-1-5-18 Startup: Deewoo.lnk = C:\WINDOWS2\system32\tcntaxdm.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: DW_Start.lnk = C:\WINDOWS2\system32\rwwnw64d.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Deewoo.lnk = C:\WINDOWS2\system32\tcntaxdm.exe (User 'Default user')
O4 - .DEFAULT Startup: DW_Start.lnk = C:\WINDOWS2\system32\rwwnw64d.exe (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS2\system32\tcntaxdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS2\system32\rwwnw64d.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - D:\PROGRA~1\PACIFI~2\pacificpoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199174721687
O17 - HKLM\System\CCS\Services\Tcpip\..\{95CFD8B9-BD84-47B8-989E-372A6FB1A1B8}: NameServer = 192.168.178.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS2\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS2\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS2\system32\PnkBstrA.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 7840 bytes

m1n1g1n 30.06.2008 22:19
und hier die Log von Malwarebytes' Anti-Malware:

Code:
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 909
Windows 5.1.2600 Service Pack 2

23:09:20 30.06.2008
mbam-log-6-30-2008 (23-09-14).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 136382
Scan Dauer: 57 minute(s), 26 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS2\system32\fccdbabB.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS2\system32\iiffFwwx.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS2\system32\pmnkifed.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS2\system32\urqOfCtr.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{91D8CAC0-7222-4FC0-ADF5-9D3C32C89F58}\RP207\A0049123.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{91D8CAC0-7222-4FC0-ADF5-9D3C32C89F58}\RP207\A0049125.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{91D8CAC0-7222-4FC0-ADF5-9D3C32C89F58}\RP207\A0049126.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{91D8CAC0-7222-4FC0-ADF5-9D3C32C89F58}\RP207\A0049127.dll (Trojan.Vundo) -> No action taken.
EDIT: No action taken ist nicht korrekt! Das Tool hat alle Files erfolgreich beseitigt.

m1n1g1n 01.07.2008 16:55
Könnte sich bitte jemand die Log's ansehen und mir sagen ob mein system wieder ok ist?


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:18 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19