Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nach Neustart neues Rootkit (https://www.trojaner-board.de/59308-neustart-neues-rootkit.html)

pyrates 06.09.2008 12:34
Nach Neustart neues Rootkit
 
Hallo,
hab zurzeit folgendes Problem: Ich habe mit AVG Anti-Rootkit nach Rootkits gesucht. Es taucht immer genau eines in stets demselben Ordner auf; der Name ist dabei zufallsgeneriert. Hier ein Bild:
http://img378.imageshack.us/img378/3857/roothn5.png
Nach einem Neustart ist immer wieder ein neues Rootkit vorhanden. Hab das ganze System schon mit Antivir abgesucht und keine Malware gefunden. Was mach ich nun?

PS: Benutze Windows XP SP3.
PPS: Hijackthis-Log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 2:11:53 PM, on 9/6/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
I:\Program Files\Adaware\aawservice.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Winamp\winampa.exe
F:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
H:\Program Files\DAEMON Tools\daemon.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\PeerGuardian2\pg2.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
H:\Program Files\OpenOffice.org 2.3\program\soffice.exe
H:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\system32\oodag.exe
H:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "H:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\Quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UpdReg] UpdReg.exe
O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0
O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe
O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] F:\WINDOWS\system32\Fi2.32tcr2.2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "h:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] F:\Program Files\PeerGuardian2\pg2.exe
O4 - Startup: OpenOffice.org 2.3.lnk = H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Shortcut to SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200172691093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA99AF0-6D60-436A-90B1-CB84292B67F8}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B7F0D3-FB52-4746-8923-5868B0480473}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: LBTWlgn - f:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Program Files\Adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - F:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

cosinus 06.09.2008 12:45
Hallo,

lass mal bitte Blacklight durchlaufen.
Gefundene Dateien bitte nicht löschen, sondern nur umbenennen!! Die umbenannten dann bei Virustotal.com auswerten lassen und die Ergebnisse posten, aber so, dass man die Ergebnisse der einzelnen Virenscanner sehen kann. Bitte mit Angaben zu den Dateigrößen und Prüfsummen.

BTW: Logfiles postet man vollständig und mit Codetags umschlossen!

HTML-Code:
[code] Hier das Logfile rein! [/code]

pyrates 06.09.2008 13:20
Habe Blacklight durchlaufen lassen, aber es wurden keine Rootkits gefunden. Weil mir das etwas seltsam vorkam hab ich neugestartet und wieder einen Scan gemacht, bei dem jedoch ebenfalls 0 Treffer herauskamen. Gibt es noch andere Programme mit denen man nach Rootkits suchen kann?

cosinus 06.09.2008 13:42
Jo gibt es. Laß mal am besten Combofix und SDFix durlaufen. Das sind rel. komplexe Bereingungstools, die sich aus mehreren kleineren Tools und Scripts zusammensetzen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]

SDFix anwenden:
  • Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

KarlKarl 06.09.2008 14:07
Entschuldigt die Einmischung, have fun

cosinus 06.09.2008 14:12
Zitat:
Zitat von KarlKarl (Beitrag 369609)
Hi,

bitte nicht das System mit allen Tools auseinandernehmen und demolieren.
Machen wir doch nicht. :blabla:

pyrates 06.09.2008 14:17
Alles der Reihe nach, hier erstmal das Log von Combofix:
Code:
ComboFix 08-09-05.02 - admin 2008-09-06 15:12:07.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.1638 [GMT 2:00]
Running from: F:\Documents and Settings\admin\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((  Files Created from 2008-08-06 to 2008-09-06  )))))))))))))))))))))))))))))))
.

2008-08-29 18:37 . 2008-08-29 18:39        <DIR>        d--------        F:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-29 17:35 . 2008-09-01 10:37        <DIR>        d--------        F:\Program Files\PeerGuardian2
2008-08-22 15:26 . 2008-08-22 15:26        21,840        --a------        F:\WINDOWS\system32\SIntfNT.dll
2008-08-22 15:26 . 2008-08-22 15:26        17,212        --a------        F:\WINDOWS\system32\SIntf32.dll
2008-08-22 15:26 . 2008-08-22 15:26        12,067        --a------        F:\WINDOWS\system32\SIntf16.dll
2008-08-22 15:19 . 2008-08-22 15:19        102,400        --a------        F:\WINDOWS\DIIUnin.exe
2008-08-22 15:19 . 2008-08-22 15:34        30,351        --a------        F:\WINDOWS\DIIUnin.dat
2008-08-22 15:19 . 2008-08-22 15:19        2,829        --a------        F:\WINDOWS\DIIUnin.pif
2008-08-21 13:34 . 2008-05-01 16:33        331,776        -----c---        F:\WINDOWS\system32\dllcache\msadce.dll
2008-08-21 13:33 . 2008-04-11 21:04        691,712        -----c---        F:\WINDOWS\system32\dllcache\inetcomm.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 13:03        ---------        d-----w        F:\Documents and Settings\admin\Application Data\OpenOffice.org2
2008-09-05 21:20        ---------        d-----w        F:\Documents and Settings\*\Application Data\OpenOffice.org2
2008-09-04 16:46        ---------        d-----w        F:\Documents and Settings\admin\Application Data\teamspeak2
2008-08-29 22:21        ---------        d-----w        F:\Documents and Settings\*\Application Data\uTorrent
2008-08-29 16:13        ---------        d-----w        F:\Program Files\Common Files\Wise Installation Wizard
2008-08-28 12:39        ---------        d-----w        F:\Documents and Settings\admin\Application Data\Skype
2008-08-28 10:45        ---------        d-----w        F:\Documents and Settings\admin\Application Data\skypePM
2008-08-15 19:28        ---------        d-----w        F:\Documents and Settings\admin\Application Data\.purple
2008-07-15 00:02        ---------        d-----w        F:\Program Files\Java
2008-07-14 12:47        ---------        d-----w        F:\Documents and Settings\admin\Application Data\gtk-2.0
2008-07-14 12:46        ---------        d-----w        F:\Program Files\Pidgin
2008-07-13 20:39        ---------        d-----w        F:\Program Files\Pidgin_common
2008-07-09 14:42        ---------        d--h--w        F:\Program Files\InstallShield Installation Information
2008-07-07 23:47        4,608        ----a-w        F:\WINDOWS\system32\w95inf32.dll
2008-07-07 23:47        2,272        ----a-w        F:\WINDOWS\system32\w95inf16.dll
2008-07-07 20:26        253,952        ----a-w        F:\WINDOWS\system32\es.dll
2008-06-24 16:43        74,240        ----a-w        F:\WINDOWS\system32\mscms.dll
2008-06-23 16:57        826,368        ----a-w        F:\WINDOWS\system32\wininet.dll
2008-06-20 17:46        245,248        ----a-w        F:\WINDOWS\system32\mswsock.dll
2008-06-12 17:02        2,829        ----a-w        F:\WINDOWS\War3Unin.pif
2008-06-12 17:02        139,264        ----a-w        F:\WINDOWS\War3Unin.exe
2003-05-26 19:08        8,964,958        ----a-w        F:\Documents and Settings\admin\SCXE26Setup.exe
2003-05-05 14:59        436,224        ----a-w        F:\Documents and Settings\admin\SCXEDirectoryFix.exe
2003-04-19 14:34        467,968        ----a-w        F:\Documents and Settings\admin\SCXEUpd.exe
2008-05-24 07:53        32,768        --sha-w        F:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008052420080525\index.dat
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="h:\Program Files\DAEMON Tools\daemon.exe" [2007-09-18 171464]
"ctfmon.exe"="F:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"PeerGuardian"="F:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-01 266497]
"Launch LCDMon"="F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"Launch LGDCore"="F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 2095640]
"SunJavaUpdateSched"="F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"WinampAgent"="H:\Program Files\Winamp\winampa.exe" [2008-01-16 37376]
"TkBellExe"="F:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-01-15 185632]
"IMJPMIG8.1"="F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"QuickTime Task"="H:\Program Files\Quicktime\QTTask.exe" [2008-02-01 385024]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 F:\WINDOWS\KHALMNPR.Exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"YouP-PAX 3.63.03 Tone Color Restorer"="F:\WINDOWS\system32\Fi2.32tcr2.2.exe" [2007-06-01 443908]
"CTxfiReg"="CTxfiReg.exe" [2006-08-11 F:\WINDOWS\system32\CTXFIREG.EXE]
"CTxfiHlp"="CTxfiHlp.exe" [2006-08-11 F:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 F:\WINDOWS\system32\narrator.exe]

F:\Documents and Settings\*\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]
Shortcut to daemon.lnk - H:\Program Files\DAEMON Tools\daemon.exe [2007-09-18 171464]
Shortcut to SetPoint.lnk - F:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-08-01 805392]

F:\Documents and Settings\admin\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]
Shortcut to SetPoint.lnk - F:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-08-01 805392]

F:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - F:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-08-01 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 f:\Program Files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 F:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-05-30 15:54 21718312 F:\Program Files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 13:17 61440 F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-03-28 11:40 1271032 H:\Games\Steam2\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"H:\\Program Files\\ICQ6\\ICQ.exe"=
"H:\\Games\\Copy of EVE\\bin\\ExeFile.exe"=
"H:\\Games\\Steam2\\steamapps\\zwei1\\counter-strike\\hl.exe"=
"H:\\Games\\EVE\\bin\\ExeFile.exe"=
"H:\\Games\\Unreal Anthology2\\UT2004\\System\\UT2004.exe"=
"H:\\Games\\Clonk Rage\\Clonk.exe"=
"I:\\Games\\UT3\\Binaries\\UT3.exe"=
"F:\\Program Files\\uTorrent\\uTorrent.exe"=
"I:\\Games\\Civilization 4\\Civilization4.exe"=
"F:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 m5288;m5288;F:\WINDOWS\system32\DRIVERS\m5288.sys [2005-12-23 210304]
R2 PStrip;PStrip;F:\WINDOWS\system32\drivers\pstrip.sys [2007-07-15 27992]
S3 NPF;NetGroup Packet Filter Driver;F:\WINDOWS\system32\drivers\npf.sys [2005-08-02 32512]

*Newly Created Service* - PGFILTER
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-UpdReg - UpdReg.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - F:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\b0uc1iy6.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - H:\Program Files\Firefox 3.0\plugins\npnul32.dll
FF -: plugin - H:\Program Files\Quicktime\Plugins\npqtplugin.dll
FF -: plugin - h:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - h:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - h:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 15:13:26
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-09-06 15:13:54
ComboFix-quarantined-files.txt  2008-09-06 13:13:52

Pre-Run: 19,948,081,152 bytes free
Post-Run: 22,110,502,912 bytes free

150
Was soll ich als nächstes machen? Den letzten Teil von root24s Anweisungen abarbeiten?
edit: Werde jetzt SDFix anwenden.

pyrates 06.09.2008 14:56
Ich mache mal einen Doppelpost, sonst wird es vll. etwas unübersichtlich.
SDFix-Log:
Code:
SDFix: Version 1.221
Run by admin on Sat 09/06/2008 at 03:43 PM

Microsoft Windows XP [Version 5.1.2600]
Running From: F:\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

F:\DOCUME~1\*\APPLIC~1\THINST~1\POWERA~1.6\400000~1\TAG.EXE - Deleted





Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 15:46:58
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:90,60,bd,5b,a2,63,3a,ac,5d,ff,bd,ce,50,45,cc,99,67,8c,93,0e,f1,..
"p0"="h:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,46,a3,75,ee,0f,b2,c5,89,f2,94,2e,b6,16,a8,99,15,28,..
"khjeh"=hex:c3,aa,28,70,1d,3b,0e,d7,97,07,7f,dd,c9,97,7f,31,96,dc,5d,48,92,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:db,2f,8d,c8,bb,07,24,68,99,84,93,2b,7a,8d,15,27,4b,ed,31,38,99,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b7,34,85,43,a6,94,ec,55,7a,f0,26,5b,29,d0,a0,e5,3e,ac,93,25,9c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c9,8c,16,59,c3,9b,f9,af,ef,c1,da,8d,4b,f3,c8,d7,7b,4a,e2,f6,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:03,77,15,e1,8f,34,d9,09,59,6d,35,b1,9c,4b,72,5e,58,72,5e,87,f5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:90,60,bd,5b,a2,63,3a,ac,5d,ff,bd,ce,50,45,cc,99,67,8c,93,0e,f1,..
"p0"="h:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,46,a3,75,ee,0f,b2,c5,89,f2,94,2e,b6,16,a8,99,15,28,..
"khjeh"=hex:c3,aa,28,70,1d,3b,0e,d7,97,07,7f,dd,c9,97,7f,31,96,dc,5d,48,92,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:72,50,5f,57,22,c4,9a,eb,16,e8,17,f1,16,62,f9,6f,24,88,51,93,13,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:55,89,c6,a3,ad,99,34,74,99,a3,36,f5,98,f8,84,8d,2f,c2,a0,39,1b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c9,8c,16,59,c3,9b,f9,af,ef,c1,da,8d,4b,f3,c8,d7,7b,4a,e2,f6,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:03,77,15,e1,8f,34,d9,09,59,6d,35,b1,9c,4b,72,5e,58,72,5e,87,f5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:90,60,bd,5b,a2,63,3a,ac,5d,ff,bd,ce,50,45,cc,99,67,8c,93,0e,f1,..
"p0"="h:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,46,a3,75,ee,0f,b2,c5,89,f2,94,2e,b6,16,a8,99,15,28,..
"khjeh"=hex:c3,aa,28,70,1d,3b,0e,d7,97,07,7f,dd,c9,97,7f,31,96,dc,5d,48,92,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:db,2f,8d,c8,bb,07,24,68,99,84,93,2b,7a,8d,15,27,4b,ed,31,38,99,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b7,34,85,43,a6,94,ec,55,7a,f0,26,5b,29,d0,a0,e5,3e,ac,93,25,9c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c9,8c,16,59,c3,9b,f9,af,ef,c1,da,8d,4b,f3,c8,d7,7b,4a,e2,f6,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:03,77,15,e1,8f,34,d9,09,59,6d,35,b1,9c,4b,72,5e,58,72,5e,87,f5,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000084
"TracesSuccessful"=dword:00000006

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"H:\\Program Files\\ICQ6\\ICQ.exe"="H:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"H:\\Games\\Copy of EVE\\bin\\ExeFile.exe"="H:\\Games\\Copy of EVE\\bin\\ExeFile.exe:*:Enabled:CCP ExeFile"
"H:\\Games\\Steam2\\steamapps\\zwei1\\counter-strike\\hl.exe"="H:\\Games\\Steam2\\steamapps\\zwei1\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"H:\\Games\\EVE\\bin\\ExeFile.exe"="H:\\Games\\EVE\\bin\\ExeFile.exe:*:Enabled:CCP ExeFile"
"H:\\Games\\Unreal Anthology2\\UT2004\\System\\UT2004.exe"="H:\\Games\\Unreal Anthology2\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"H:\\Games\\Clonk Rage\\Clonk.exe"="H:\\Games\\Clonk Rage\\Clonk.exe:*:Enabled:Clonk Rage"
"I:\\Games\\UT3\\Binaries\\UT3.exe"="I:\\Games\\UT3\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
"F:\\Program Files\\uTorrent\\uTorrent.exe"="F:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"I:\\Games\\Civilization 4\\Civilization4.exe"="I:\\Games\\Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"F:\\Program Files\\Skype\\Phone\\Skype.exe"="F:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - F:\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 13 Jan 2008            0 A.SH. --- F:\DOCUME~1\ALLUSE~1\DRM\CACHE\INDIV01.TMP

Finished!
Anm.: Kann den Accountnamen dazuschreiben, wenn das behilflich ist.

Nun das Hijackthis-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:53:03 PM, on 9/6/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
I:\Program Files\Adaware\aawservice.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\system32\oodag.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\notepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Winamp\winampa.exe
F:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
H:\Program Files\DAEMON Tools\daemon.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\PeerGuardian2\pg2.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
H:\Program Files\OpenOffice.org 2.3\program\soffice.exe
F:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
H:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
H:\Program Files\Firefox 3.0\firefox.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "H:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\Quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UpdReg] UpdReg.exe
O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0
O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe
O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] F:\WINDOWS\system32\Fi2.32tcr2.2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "h:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] F:\Program Files\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Shortcut to SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200172691093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA99AF0-6D60-436A-90B1-CB84292B67F8}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B7F0D3-FB52-4746-8923-5868B0480473}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Program Files\Adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - F:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - F:\Program Files\WinPcap\rpcapd.exe

--
End of file - 6976 bytes
edit: Ein Zombie weniger. Was nun?

cosinus 06.09.2008 15:34
Das sieht - soweit ich das beurteilen kann - okay aus. Vermutlich hatte Karl mit seiner Vermutung, dass es an DeamonTools liegt, Recht. :party:

Prost Karl! :party:

pyrates 06.09.2008 15:38
Zitat:
Zitat von root24 (Beitrag 369646)
Das sieht - soweit ich das beurteilen kann - okay aus. Vermutlich hatte Karl mit seiner Vermutung, dass es an DeamonTools liegt, Recht. :party:

Prost Karl! :party:
Aber ich hab die DaemonTools doch noch garnicht deinstalliert. :balla:

cosinus 06.09.2008 15:40
Zitat:
Zitat von KarlKarl (Beitrag 369609)
Entschuldigt die Einmischung, have fun
Die Einmischung ist sogar erwünscht! :party:

pyrates 06.09.2008 15:46
Ich haette dann noch zwei Fragen:
1. Kann ich den CC-Cleaner auch einfach so verwenden? Wenn ja, ist das Programm besser als Adaware?

2. Soll ich die Daemontools deinstallieren? Wenn ja, gibt es ein alternatives, sichereres Programm?

cosinus 06.09.2008 15:49
1.) Der CCleaner löscht bloß unnötige Dateien, ist also kein Tool zum Aufspüren von Ad- und Spyware.

2.) Die DaemonTool sind okay, ich selbst nutze diese auch. :teufel3:

pyrates 06.09.2008 15:56
Okay, das wärs dann. Vielen Dank!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55