Trojaner-Board - Trojan.DNSChanger - Ist das System noch zu retten?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.DNSChanger - Ist das System noch zu retten? (https://www.trojaner-board.de/69212-trojan-dnschanger-system-noch-retten.html)

Trojan.DNSChanger - Ist das System noch zu retten?

Hallo Liebe Commuity,

ich wende mich mit folgendem Problem an euch:
Anfangs konnte ich antivir nicht mehr automatisch updaten, kurz darauf ist auch der windows defender ausgefallen. Als ich diesen manuell updaten wollte, konnte die seite von Microsoft nicht aufgerufen werden. Daraufhin habe ich mich entschlossen spybot zu installieren, aber der lies sich mit dem V0erweis "servername oder serveradresse wurde nicht gefunden" nicht installieren. Ad-aware konnte ich zwar installieren, aber nicht updaten. Kaspersky konnte nicht aufgerufen werden, BitDefender konnte zwar runtergeladen, aber nicht geupdatet werden...Malwarebytes zwar runterladen aber nicht updaten.
Mit letzterem wurde - Trojan.DNSChanger - gefunden. Den habe ich auch direkt löschen lassen. Seitdem geht Antivir wieder, sämtliche updates sind auch wieder möglich. Nun würde ich gerne wissen, ob ich mein system noch retten kann, oder schon irreparable schäden eingetreten sind.
Könnt ihr mir bitte weiterhelfen?
Konkret, wie kann ich herausfinden, ob das system noch zu retten ist, wenn ja - wie. Und falls es zum unvermeidlichen Plattmachen kommen muss - wie würdet ihr da am besten vorgehen und final, wie kann ich mich zukünftig besser davor schützen.(Habe noch eine externe Platte, die müsste ich genauso überprüfen).

Zu guter Letzt bitet mir Windows nun zahlreiche Updates an, die nun wieder möglich sind, kann ich diese "bedenkenlos" (sofernman sowas überhaupt kann) installieren, oder laufe ich gefahr, dass diese irgendwie verseucht sind?

Vielen dank für eure Hilfe.:)
Grüße

Hier der hiJackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:00, on 27.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
C:\Program Files\lg_swupdate\GiljabiStart.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/de-de/wlscctrl2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://w*w.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 8111 bytes

und hier noch der LOG von Malwarebytes nach dem Update und dem erneuten Scan:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1698
Windows 6.0.6001 Service Pack 1

27.01.2009 17:00:18
mbam-log-2009-01-27 (17-00-18).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 161501
Laufzeit: 3 hour(s), 30 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

zu guter letzt noch der Log, als der Trojaner.DNSChanger gefunden wurde.
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 6.0.6001 Service Pack 1

27.01.2009 13:21:28
mbam-log-2009-01-27 (13-21-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58788
Laufzeit: 10 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\System32\msqpdxvmuqpirh.dll (Trojan.TDSS) -> Delete on reboot.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen?
MfG Russenaisko

Zitat:

Russenaisko
AW: Trojan.DNSChanger - Ist das System noch zu retten?
Was ich nicht verstehe ist dein Pc jetzt soweit in Ordnung oder nicht? Gehen alle anwendungen wieder? Warum willst du den Plattmachen?
MfG Russenaisko

Hallo Russenaisko,
danke für deine Nachfrage. Ich habe lediglich bisher das Problem dahingehend beseitigt, dass der Rechner sich wieder selbstständig updaten kann und ich wieder vollen Zugriff auf sämtliche Webseite habe. Aber ob in der Zeit, in der ich das nicht konnte, der Trojaner irgendwelche andere schädliche Software nachgezogen hat, das kann ich nicht beurteilen. Gefunden habe ich nichts, aber grundsätzlich traue ich einem (ehemals) kontaminierten System wenig.
Viell. hatte jm anderes denselben Trojaner und weiß wo eventuell besonders hingeschaut werden müsste.
Ansonsten habe ich mit dem Rechner keine Probleme, er ist zu Beginn deutlich langsamer, aber das kann auch an den Virenprogrammen/Firewall liegen.

Grüße
Azcona

Hallo und :hallo:

Zitat:

Aber ob in der Zeit, in der ich das nicht konnte, der Trojaner irgendwelche andere schädliche Software nachgezogen hat, das kann ich nicht beurteilen.

Er hat.

Zitat:

Gefunden habe ich nichts, aber grundsätzlich traue ich einem (ehemals) kontaminierten System wenig.

Gute Einstellung.

Zitat:

Viell. hatte jm anderes denselben Trojaner und weiß wo eventuell besonders hingeschaut werden müsste.

Der verbreitet sich über externe Datenträger. Die Fälle, die ich betreut habe, endeten alle mit einer Neuinstallation. Allerdings wurde vorher immer bereinigt, damit nach einer Neuinstallation nicht sofortiger Wiederbefall eintrat, wie z.B. bei ihm hier: http://www.trojaner-board.de/68318-r...ht=disinfector

Wenn du sicher sein möchtest, dann schliesse alle externen Datenträger an, lasse ComboFix laufen und anschliessend Neuinstallation. Deaktiviere die Autoplayfunktion von Windows, um weiteren Befall zu vermeiden. Desinfiziere externe Datenträger mit Flash Disinfector (Link im obigen Link).

Falls du lieber reinigen möchtest, dann starte damit:
GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklick auf gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Hallo John.Doe,

habe mich vorerst für die 2. Variante entschieden. Hier der Log:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-01 23:56:42
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

SSDT 9B82666C ZwCreateThread
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwOpenProcess [0x9CB32BCE]
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwOpenThread [0x9CB32CBC]
SSDT \??\C:\Program Files\BitDefender\BitDefender 2009\bdselfpr.sys ZwTerminateProcess [0x9CB32B32]
SSDT 9B826662 ZwWriteVirtualMemory

INT 0x51 ? 861EFF00
INT 0x51 ? 861EFF00
INT 0x52 ? 861EFF00
INT 0x62 ? 861EFF00
INT 0x72 ? 861EFF00
INT 0x82 ? 8488EBF8
INT 0x92 ? 8488EBF8
INT 0xB2 ? 861EFF00

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 820CCA18 4 Bytes [ 6C, 66, 82, 9B ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 820CCBE8 4 Bytes [ CE, 2B, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 820CCC04 4 Bytes [ BC, 2C, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 820CCE18 4 Bytes [ 32, 2B, B3, 9C ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 820CCE78 4 Bytes [ 62, 66, 82, 9B ]
? System32\Drivers\spob.sys Das System kann die angegebene Datei nicht finden. !
PAGE ataport.SYS!DllUnload 826D8B2E 5 Bytes JMP 8488E1D8
.text USBPORT.SYS!DllUnload 82F4846F 5 Bytes JMP 861EF4E0
.text a9nndqwe.SYS 8CADF000 22 Bytes [ 26, 42, 3D, 82, 10, 41, 3D, ... ]
.text a9nndqwe.SYS 8CADF017 83 Bytes [ 00, 32, C7, 79, 80, 3D, C5, ... ]
.text a9nndqwe.SYS 8CADF06B 97 Bytes [ 82, CB, E2, 25, 82, E0, 67, ... ]
.text a9nndqwe.SYS 8CADF0CE 73 Bytes [ 00, 00, 00, 00, 01, C2, 03, ... ]
.text a9nndqwe.SYS 8CADF118 185 Bytes [ 3F, 48, 3E, 8A, 3C, CC, 3D, ... ]
.text ...
? System32\Drivers\1725d078.sys Das System kann die angegebene Datei nicht finden. !
? System32\Drivers\dac44383.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[5276] kernel32.dll!SetUnhandledExceptionFilter 77426E2D 5 Bytes JMP 66B45629 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806966D2] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80696040] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [806967FC] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806960BE] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8069613C] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [806A5D92] \SystemRoot\System32\Drivers\spob.sys
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortNotification] 000000DC
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortUchar] 000000A2
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortUlong] 00000333
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 000003D8
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 0000024D
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetScatterGatherList] 00000201
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortUchar] 000001EF
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortStallExecution] 0000031F
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetParentBusType] 000000A1
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortRequestCallback] 0000025C
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 000003BE
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 00000215
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortCompleteRequest] 000000DD
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortMoveMemory] 00000190
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 00000182
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 00000363
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 00000258
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortUshort] 0000030E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 0000017E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortInitialize] 00000254
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortGetDeviceBase] 0000019E
IAT \SystemRoot\System32\Drivers\a9nndqwe.SYS[ataport.SYS!AtaPortDeviceStateChange] 000000AB

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 852241F8

AttachedDevice \FileSystem\Ntfs \Ntfs trufos.sys

Device \FileSystem\fastfat \FatCdrom 84C721F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 848901F8
Device \Driver\usbuhci \Device\USBPDO-0 862731F8
Device \Driver\usbuhci \Device\USBPDO-1 862731F8
Device \Driver\usbehci \Device\USBPDO-2 862A21F8
Device \Driver\usbuhci \Device\USBPDO-3 862731F8
Device \Driver\usbuhci \Device\USBPDO-4 862731F8

AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys

Device \Driver\usbuhci \Device\USBPDO-5 862731F8
Device \Driver\usbehci \Device\USBPDO-6 862A21F8
Device \Driver\volmgr \Device\HarddiskVolume1 848901F8
Device \Driver\sptd \Device\1573798644 spob.sys
Device \Driver\volmgr \Device\HarddiskVolume2 848901F8
Device \Driver\cdrom \Device\CdRom0 862A31F8
Device \Driver\volmgr \Device\HarddiskVolume3 848901F8
Device \Driver\cdrom \Device\CdRom1 862A31F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 852231F8
Device \Driver\atapi \Device\Ide\IdePort0 852231F8
Device \Driver\atapi \Device\Ide\IdePort1 852231F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-3 852231F8
Device \Driver\cdrom \Device\CdRom2 862A31F8
Device \Driver\netbt \Device\NetBt_Wins_Export 87EA31F8
Device \Driver\USBSTOR \Device\00000092 85479500
Device \Driver\Smb \Device\NetbiosSmb 87EDD500
Device \Driver\USBSTOR \Device\00000093 85479500
Device \Driver\iScsiPrt \Device\RaidPort0 8638C1F8

AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys

Device \Driver\netbt \Device\NetBT_Tcpip_{F7B9DCDD-8F96-4EE2-AD0C-D522B7C41908} 87EA31F8
Device \Driver\usbuhci \Device\USBFDO-0 862731F8
Device \Driver\PCI_PNP4630 \Device\0000006d spob.sys
Device \Driver\usbuhci \Device\USBFDO-1 862731F8
Device \Driver\usbehci \Device\USBFDO-2 862A21F8
Device \Driver\usbuhci \Device\USBFDO-3 862731F8
Device \Driver\usbuhci \Device\USBFDO-4 862731F8
Device \Driver\netbt \Device\NetBT_Tcpip_{7994387F-E97A-478B-B6FF-465B512B2FE6} 87EA31F8
Device \Driver\usbuhci \Device\USBFDO-5 862731F8
Device \Driver\usbehci \Device\USBFDO-6 862A21F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1Port5Path0Target0Lun0 8637A1F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1Port5Path0Target1Lun0 8637A1F8
Device \Driver\a9nndqwe \Device\Scsi\a9nndqwe1 8637A1F8
Device \FileSystem\fastfat \Fat 84C721F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat trufos.sys

Device \FileSystem\cdfs \Cdfs 9E8081F8

---- Services - GMER 1.0.14 ----

Service system32\drivers\msqpdxxxieobcp.sys (*** hidden *** ) [SYSTEM] msqpdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000df03620bf
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxvmuqpirh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xE7 0x6A 0x60 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x17 0xAF 0x8D 0x92 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB8 0xDE 0x9B 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF2 0xA4 0x29 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC3 0x3C 0xD3 0x27 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000df03620bf
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxxxieobcp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxvmuqpirh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x27 0xE7 0x6A 0x60 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x17 0xAF 0x8D 0x92 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB8 0xDE 0x9B 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF2 0xA4 0x29 0x6D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC3 0x3C 0xD3 0x27 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6F 0x5D 0x64 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x6F 0x5D 0x64 0xD1 ...

---- EOF - GMER 1.0.14 ----

Vielen Dank für weitere Instruktionen.
Grüße

ps. auf jeden fallhat er zwei mal mir ne warnung separat angezeigt, dass was verändert wurde.

Anleitung Avenger (by swandog46)

Lade dir das Tool yxcv.com (ist Avenger drin) und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

msqpdxserv.sys
 

Files to delete:

C:\Windows\System32\drivers\msqpdxxxieobcp.sys

C:\Windows\system32\msqpdxvmuqpirh.dll

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo Andreas,

wenn ich versuche die von angegebene Datei runterzuladen schlägt Bitdefender Alarm, und die Datei kann nicht gespeichert werden, Ich werde jedes mal aufgefordert ein anderes Verzeichnis zu wählen.

Bitdefender hat das gefunden:
GenPack:Trojan.Generic.1411777

Wie soll ich weitervorgehen, kann ich das Programm auch woanderst herbeziehen?
Danke,
Grüße
Jan

ps.
*edit*
Das hat AntiVir heute noch gemeldet:

In der Datei 'C:\Windows\System32\CmdLineExt03.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.RL' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Zitat:

wenn ich versuche die von angegebene Datei runterzuladen schlägt Bitdefender Alarm, und die Datei kann nicht gespeichert werden

:schmoll: Zitat von Oschad, Quelle: Computersicherheit - Virenscanner

Zitat:

Was kann man aus dieser Geschichte lernen?

Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.

Außerdem gilt:

Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.

Den tatsächlichen Schädling, den fiesen Rootkit hat Bitdefender nicht verhindert. Aber das Tool, mit dem du den Schädling beseitigen kannst, den verhindert er. :headbang:

Soll ich wirklich noch einmal meine Meinung zu "Sicherheitsprogrammen" kundtun? :koch:

Deaktiviere oder noch besser deinstalliere Bitdefender.

ciao, andreas

Hallo john.doe,
Ich bräuchte auch deine Hilfe bezüglich des Trojan.DNSChanger und die "auswertung" von gmer. Ich stelle gleich meine Auswertung rein.
Danke für dein Hilfe:)

@Russenaisko

Bitte eröffne deinen eigenen Thread, so wie es hier steht: Trojaner-Board - Impressum

Zitat:

Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Erstelle dafür ein eigenes Thema um Verwirrung zu vermeiden. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

ciao, andreas

Nein Text ist zu lang was nun?
MfG Russenaisko

Hallo Andreas,
nach dem ich den Kampf gegen Bitdefender als user nicht gewinnen konnte, musste ich ihn entfernen, alles andere hat nicht geholfen.
Aber:

hier ist der LOG:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "msqpdxserv.sys" deleted successfully.

Error: file "C:\Windows\System32\drivers\msqpdxxxieobcp.sys" not found!
Deletion of file "C:\Windows\System32\drivers\msqpdxxxieobcp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\msqpdxvmuqpirh.dll" not found!
Deletion of file "C:\Windows\system32\msqpdxvmuqpirh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

warte nun auf wietere Instruktionen. Was ich super finden würde wäre, wenn du zu dem einen oder anderen nen erklärenden satz dazuschreibst. einfach was wir machen, bzw warum ;) rein interessehalber :)

Vielen dank Dir,
Grüße
Jan

Hänge alle externen Datenträger, die jemals am Computer angesteckt wurden, vor dem Scan an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

ComboFix 09-02-02.03 - Jan 2009-02-02 22:16:52.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2047.1251 [GMT 1:00]
ausgeführt von:: c:\users\Jan\Desktop\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: BitDefender Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\resycled
h:\resycled\boot.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

2009-02-02 22:06 . 2009-02-02 22:06 <DIR> d-------- c:\program files\CCleaner
2009-02-02 20:30 . 2009-02-02 20:30 121 --a------ c:\windows\bdagent.INI
2009-02-01 23:26 . 2009-02-01 23:28 250 --a------ c:\windows\gmer.ini
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\users\Jan\AppData\Roaming\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\programdata\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:27 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-27 13:06 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-01-27 13:06 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-01-27 12:36 . 2009-02-02 20:52 81,984 --a------ c:\windows\System32\bdod.bin
2009-01-27 12:30 . 2009-01-27 12:30 850 --a------ c:\windows\System32\ProductTweaks.xml
2009-01-27 12:30 . 2009-01-27 12:30 385 --a------ c:\windows\System32\user_gensett.xml
2009-01-27 12:25 . 2009-01-27 12:25 <DIR> d-------- c:\windows\System32\logs
2009-01-27 12:25 . 2009-01-27 12:25 <DIR> d-------- c:\users\Jan\AppData\Roaming\BitDefender
2009-01-27 12:23 . 2009-01-27 12:29 <DIR> d-------- c:\users\All Users\BitDefender
2009-01-27 12:23 . 2009-01-27 12:29 <DIR> d-------- c:\programdata\BitDefender
2009-01-27 12:23 . 2009-02-02 20:54 <DIR> d-------- c:\program files\BitDefender
2009-01-27 12:19 . 2009-01-27 12:19 <DIR> d-------- c:\windows\System32\URTTEMP
2009-01-27 12:18 . 2009-02-02 20:54 <DIR> d-------- c:\program files\Common Files\BitDefender
2009-01-27 12:10 . 2009-02-02 01:10 <DIR> d-------- c:\program files\Panda Security
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\windows\System32\Kaspersky Lab
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\users\All Users\Kaspersky Lab
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\programdata\Kaspersky Lab
2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- c:\users\Jan\Pavark
2009-01-26 20:40 . 2009-01-26 20:40 <DIR> d----c--- c:\windows\System32\DRVSTORE
2009-01-26 20:40 . 2009-01-18 22:30 64,160 --a------ c:\windows\System32\drivers\Lbd.sys
2009-01-26 20:35 . 2009-01-26 20:35 <DIR> d--h-c--- c:\users\All Users\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-26 20:35 . 2009-01-26 20:35 <DIR> d--h-c--- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-26 20:34 . 2009-01-26 20:42 <DIR> d-------- c:\users\All Users\Lavasoft
2009-01-26 20:34 . 2009-01-26 20:42 <DIR> d-------- c:\programdata\Lavasoft
2009-01-26 20:34 . 2009-01-26 20:34 <DIR> d-------- c:\program files\Lavasoft
2009-01-26 20:05 . 2009-01-26 20:05 <DIR> d-------- c:\program files\Trend Micro
2009-01-26 10:34 . 2009-01-26 10:37 <DIR> d-------- c:\program files\Windows Live Safety Center
2009-01-19 10:19 . 2009-01-19 10:18 410,984 --a------ c:\windows\System32\deploytk.dll
2009-01-19 09:57 . 2008-12-16 03:42 288,768 --a------ c:\windows\System32\drivers\srv.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-02 20:03 --------- d-----w c:\program files\lg_swupdate
2009-02-02 09:17 --------- d-----w c:\programdata\AntiVir PersonalEdition Classic
2009-01-19 09:18 --------- d-----w c:\program files\Java
2009-01-15 21:29 12,931 ----a-w c:\users\Jan\AppData\Roaming\nvModes.dat
2009-01-06 20:53 --------- d-----w c:\users\Jan\AppData\Roaming\teamspeak2
2009-01-05 12:18 --------- d-----w c:\program files\Common Files\Adobe
2009-01-04 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-04 20:48 --------- d-----w c:\program files\Macromedia
2009-01-04 20:45 --------- d-----w c:\program files\Opera
2009-01-01 17:16 --------- d-----w c:\users\Jan\AppData\Roaming\Leadertech
2008-12-31 21:41 --------- d-----w c:\users\Jan\AppData\Roaming\Creative
2008-12-14 17:23 --------- d-----w c:\users\Jan\AppData\Roaming\Pegasys Inc
2008-12-13 17:20 --------- d-----w c:\program files\QIP
2008-09-05 18:56 174 --sha-w c:\program files\desktop.ini
2007-12-27 17:06 32 ----a-w c:\users\All Users\ezsid.dat
2007-12-27 17:06 32 ----a-w c:\programdata\ezsid.dat
2007-12-13 11:26 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-12-13 11:26 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-12-13 11:26 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QIP2005"="c:\program files\QIP\qip.exe" [2008-12-09 3259392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MGSysCtrl"="c:\program files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 565248]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2008-08-17 251184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-28 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-28 81920]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-02 509784]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 c:\windows\RtHDVCpl.exe]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]
VPN Client.lnk - c:\program files\Cisco Systems\VPN Client\vpngui.exe [2007-04-03 1537064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2007-11-06 09:16 3096576 c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
--a------ 2007-04-28 18:05 86016 c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{FD61B95F-F42C-4730-BDDD-1DB8C3F3E052}e:\\worms\\worms worldparty\\wwp.exe"= UDP:e:\worms\worms worldparty\wwp.exe:Worms World Party
"UDP Query User{D05C9997-0323-4F95-9B52-372C5265CCEF}e:\\worms\\worms worldparty\\wwp.exe"= TCP:e:\worms\worms worldparty\wwp.exe:Worms World Party
"TCP Query User{FA41DDCD-A51D-4FD8-BC82-451974928E89}c:\\program files\\java\\jre1.6.0_02\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_02\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{54752B49-67BD-4CD9-AE8E-3987224CEBAD}c:\\program files\\java\\jre1.6.0_02\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_02\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{FD5FDE72-99AA-41C4-9715-8D0839DBF85C}c:\\program files\\qip\\qip.exe"= UDP:c:\program files\qip\qip.exe:Quiet Internet Pager
"UDP Query User{D18DD3E6-4A7E-4AA1-ABEE-09BF79512F52}c:\\program files\\qip\\qip.exe"= TCP:c:\program files\qip\qip.exe:Quiet Internet Pager
"TCP Query User{A08B6A1C-9645-4DB5-B266-8690492FB282}c:\\program files\\java\\jdk1.6.0_02\\jre\\bin\\java.exe"= UDP:c:\program files\java\jdk1.6.0_02\jre\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{493F9AD4-E51E-4474-9D2B-4AAA5714A00A}c:\\program files\\java\\jdk1.6.0_02\\jre\\bin\\java.exe"= TCP:c:\program files\java\jdk1.6.0_02\jre\bin\java.exe:Java(TM) Platform SE binary
"{0B2C32C7-5AD1-4F77-9F47-B7EAA514FF00}"= c:\users\Jan\Desktop\Jan\gezogen\Command & Conquer 3\RetailExe\1.5\cnc3game.dat:Command & Conquer 3 Tiberium Wars
"TCP Query User{D1498A19-444C-4353-9429-C7264B2C4610}c:\\users\\jan\\desktop\\jan\\gezogen\\command & conquer 3\\retailexe\\1.8\\cnc3game.dat"= UDP:c:\users\jan\desktop\jan\gezogen\command & conquer 3\retailexe\1.8\cnc3game.dat:cnc3game.dat
"UDP Query User{C133FAB4-28C8-4BE7-8BE9-DE6DA76195C8}c:\\users\\jan\\desktop\\jan\\gezogen\\command & conquer 3\\retailexe\\1.8\\cnc3game.dat"= TCP:c:\users\jan\desktop\jan\gezogen\command & conquer 3\retailexe\1.8\cnc3game.dat:cnc3game.dat
"TCP Query User{F9FC612F-5E1E-4E71-B4B7-1801780CD337}c:\\users\\jan\\desktop\\jan\\gezogen\\ut2004\\system\\ut2004.exe"= UDP:c:\users\jan\desktop\jan\gezogen\ut2004\system\ut2004.exe:ut2004.exe
"UDP Query User{F8E20296-DC67-4A6B-A976-0B43F7405C0E}c:\\users\\jan\\desktop\\jan\\gezogen\\ut2004\\system\\ut2004.exe"= TCP:c:\users\jan\desktop\jan\gezogen\ut2004\system\ut2004.exe:ut2004.exe
"{0241B77C-1613-4B59-BBA8-4CA74A952ABA}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{9C52B1D3-D6EB-4049-9EE0-59238B6004F2}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{3C805638-B6A5-4C37-86F0-020BCF0C280D}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{7A63D660-814E-402A-B8C7-DE87CA7369C9}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C75CF268-3137-47A6-A4FA-83E671895A29}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{6EBC542C-8CAC-4FA5-B46A-AFD372B1EAB8}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{5A1655E2-41A1-4852-85DB-29010D4851BC}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{60481D77-835A-4253-83B4-AA2B069C1CE1}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{2C084982-62FE-49BA-AD26-718732404075}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{28391057-B674-4DC2-8B7D-3B99475DE7D5}c:\\program files\\valve\\hl.exe"= UDP:c:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{E67A7DEE-7026-49FA-8F79-9CCF2C534457}c:\\program files\\valve\\hl.exe"= TCP:c:\program files\valve\hl.exe:Half-Life Launcher
"TCP Query User{CDFDB2CF-5DB3-4570-B0C0-1C8E8130A5AA}c:\\program files\\hydrairc\\hydrairc.exe"= UDP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"UDP Query User{BDF92AB0-3BA3-4E29-8BAD-570013A11386}c:\\program files\\hydrairc\\hydrairc.exe"= TCP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"{DEF715A9-F5F7-4130-8AB6-BDE510F208E2}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{5664C83C-6D06-4ED3-9D26-37960EB5165D}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{20EA8BC8-5D8A-4E7D-B8C2-93AFA0D320D1}c:\\program files\\hydrairc\\hydrairc.exe"= UDP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"UDP Query User{8BE2FD80-0D79-4552-9EB5-D6E30F554CCA}c:\\program files\\hydrairc\\hydrairc.exe"= TCP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"TCP Query User{C0388E27-E767-4A73-944B-EF8A2147AD6A}c:\\program files\\mirc\\mirc.exe"= UDP:c:\program files\mirc\mirc.exe:mIRC
"UDP Query User{C0237A71-1C6B-49F1-9BE1-6D325E4F281A}c:\\program files\\mirc\\mirc.exe"= TCP:c:\program files\mirc\mirc.exe:mIRC
"TCP Query User{07EA7E23-53AE-40C7-9510-E8E5F8216C87}c:\\program files\\mirc\\mirc.exe"= UDP:c:\program files\mirc\mirc.exe:mIRC
"UDP Query User{92A48458-33D2-465D-9BCA-E4F4E6DC1B39}c:\\program files\\mirc\\mirc.exe"= TCP:c:\program files\mirc\mirc.exe:mIRC
"TCP Query User{EA47C596-AAB7-4DF1-97D1-7F1D51F8489E}c:\\program files\\valve\\hl.exe"= UDP:c:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{05110BEF-06F4-4220-9637-489F332CB089}c:\\program files\\valve\\hl.exe"= TCP:c:\program files\valve\hl.exe:Half-Life Launcher
"{F241CDE2-CEEB-403B-B7E3-4B869405D67F}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{E40259B8-E4FA-4D61-AF55-689BEFE05602}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{8FAC13C8-AAB0-4494-BF4A-1DF3C23F76A8}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{D652E77D-4230-4488-BF2E-4BB9874BA52D}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{DB9586C5-8BF7-4B75-A9E5-DBD3315131FB}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{CA7F33FF-D84F-4958-BDE9-7A73C794C772}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{4A2B3F80-082F-463C-9569-34442F11B351}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{815810D3-45E1-41B2-B9D9-43F52E753AA9}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{160349E4-70BD-457A-B0D9-08CC5A1BBEAC}c:\\program files\\java\\jdk1.6.0_03\\bin\\rmiregistry.exe"= UDP:c:\program files\java\jdk1.6.0_03\bin\rmiregistry.exe:Java(TM) Platform SE binary
"UDP Query User{D91A3938-D05C-4BFD-B818-7274A43B3DEA}c:\\program files\\java\\jdk1.6.0_03\\bin\\rmiregistry.exe"= TCP:c:\program files\java\jdk1.6.0_03\bin\rmiregistry.exe:Java(TM) Platform SE binary
"TCP Query User{6FE1A846-1FFC-4910-8FAA-5ED81F0B534A}c:\\program files\\java\\jre1.6.0_05\\bin\\rmiregistry.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\rmiregistry.exe:Java(TM) Platform SE binary
"UDP Query User{A38D7BE2-45AB-4FAB-847F-2D61A5ECA442}c:\\program files\\java\\jre1.6.0_05\\bin\\rmiregistry.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\rmiregistry.exe:Java(TM) Platform SE binary
"TCP Query User{7C81081A-6123-49E7-8E0D-A911E8FEDD86}c:\\program files\\3do\\heroes 3 complete\\heroes3.exe"= UDP:c:\program files\3do\heroes 3 complete\heroes3.exe:Heroes of Might and Magic® III
"UDP Query User{FF4EF718-C4CA-48D6-A595-FC6B340161BB}c:\\program files\\3do\\heroes 3 complete\\heroes3.exe"= TCP:c:\program files\3do\heroes 3 complete\heroes3.exe:Heroes of Might and Magic® III
"TCP Query User{329FCC26-8507-4983-A7FB-7E7344704535}c:\\windows\\system32\\dplaysvr.exe"= UDP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"UDP Query User{2CB996E6-633F-4DCE-B181-2BCEE08210F6}c:\\windows\\system32\\dplaysvr.exe"= TCP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"TCP Query User{8B4D3056-F62E-4460-9A1E-7C4CE2E40FCC}c:\\program files\\miranda im\\miranda32.exe"= UDP:c:\program files\miranda im\miranda32.exe:Miranda IM
"UDP Query User{A027C3FE-676A-4B6E-9ACA-CB5D35059CD9}c:\\program files\\miranda im\\miranda32.exe"= TCP:c:\program files\miranda im\miranda32.exe:Miranda IM
"{9E77FE68-87F3-43C5-BFAD-5F6A3DD0CE1B}"= UDP:c:\program files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{2E991FBE-7317-4968-9F61-D84B0C8A5AD1}"= TCP:c:\program files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{210C87AF-A464-4345-B41B-58EF6E919E6C}c:\\program files\\fdrlab\\anytv\\anytv.exe"= UDP:c:\program files\fdrlab\anytv\anytv.exe:anyTV exe file
"UDP Query User{2C1A070D-4857-4A9C-B821-9C87AF3A347E}c:\\program files\\fdrlab\\anytv\\anytv.exe"= TCP:c:\program files\fdrlab\anytv\anytv.exe:anyTV exe file
"TCP Query User{41C38B01-825F-455E-8629-55C3580BE538}c:\\program files\\empire interactive\\strangelite\\starship troopers\\stgame.exe"= UDP:c:\program files\empire interactive\strangelite\starship troopers\stgame.exe:Starship Troopers US/Euro2
"UDP Query User{99828CF3-F086-4024-90E8-F0051C755213}c:\\program files\\empire interactive\\strangelite\\starship troopers\\stgame.exe"= TCP:c:\program files\empire interactive\strangelite\starship troopers\stgame.exe:Starship Troopers US/Euro2
"TCP Query User{48D87E35-0381-40DC-821A-5E8F14A019BC}c:\\program files\\activision\\call of duty 4 - modern warfare\\iw3mp.exe"= UDP:c:\program files\activision\call of duty 4 - modern warfare\iw3mp.exe:iw3mp
"UDP Query User{97954A3E-1025-42E3-BE2D-98D7B5AE3D99}c:\\program files\\activision\\call of duty 4 - modern warfare\\iw3mp.exe"= TCP:c:\program files\activision\call of duty 4 - modern warfare\iw3mp.exe:iw3mp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [2009-01-26 64160]
R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [2006-11-20 38400]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [2007-03-09 35968]
R2 NishService;Evil Driver Daemon;c:\program files\LG Software\System Control Manager\edd.exe [2007-05-09 40960]
R3 MGHwCtrl;MGHwCtrl;c:\windows\System32\drivers\MGHwCtrl.sys [2007-05-09 9088]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b9c1637-6f67-11dc-a04c-0019db3d8a9b}]
\shell\AutoRun\command - F:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5d02117f-d787-11dd-8db8-9ed2c7d995d5}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL h:\resycled\boot.com f:
\shell\Open\command - h:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa60eb5e-5d9c-11dc-8a71-0019db3d8a9b}]
\shell\AutoRun\command - E:\autoplay.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-02 20:43]

2009-02-02 c:\windows\Tasks\User_Feed_Synchronization-{8403E445-6EA8-47F8-8698-6EDD57283A42}.job
- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Photo Downloader - c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
MSConfigStartUp-AlcoholAutomount - c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe
MSConfigStartUp-CTSysVol - c:\program files\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
MSConfigStartUp-UpdReg - c:\windows\UpdReg.EXE
MSConfigStartUp-SbUsb AudCtrl - sbusbdll.dll
MSConfigStartUp-SetDefaultMIDI - MIDIDef.exe

.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\3ivumtu1.default\
FF - component: c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\3ivumtu1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 22:20:32
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-02 22:23:28
ComboFix-quarantined-files.txt 2009-02-02 21:23:25

Vor Suchlauf: 19 Verzeichnis(se), 61.405.306.880 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 61,066,227,712 Bytes frei

232 --- E O F --- 2009-02-02 14:31:34

Für einen USB stick hatte ich leider keinen steckplatz mehr. Wie soll ich diesen ggf überprüfen?
Soweit so gut,:)

Grüße
Jan

Zitat:

Für einen USB stick hatte ich leider keinen steckplatz mehr. Wie soll ich diesen ggf überprüfen?

ComboFix hat den Autostart abgeschaltet. Du kannst ihn gefahrlos anstecken und ComboFix noch einmal laufen lassen.

Zitat:

In der Datei 'C:\Windows\System32\CmdLineExt03.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.RL' [trojan] gefunden.

Lade die Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste nach der Analyse die komplette Ausgabe.

ciao, andreas

Die Datei :

Zitat:

'C:\Windows\System32\CmdLineExt03.dll'

hab ich leider nicht gefunden. Habe dann aus demselben ordner die datei ohne die "03" endung genommen.

Datei CmdLineExt.dll empfangen 2009.02.02 23:02:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.02 -
AhnLab-V3 5.0.0.2 2009.02.02 -
AntiVir 7.9.0.71 2009.02.02 -
Authentium 5.1.0.4 2009.02.02 -
Avast 4.8.1281.0 2009.02.02 -
AVG 8.0.0.229 2009.02.02 -
BitDefender 7.2 2009.02.02 -
CAT-QuickHeal 10.00 2009.02.02 -
ClamAV 0.94.1 2009.02.02 -
Comodo 959 2009.02.02 -
DrWeb 4.44.0.09170 2009.02.02 -
eSafe 7.0.17.0 2009.02.01 -
eTrust-Vet 31.6.6337 2009.02.02 -
F-Prot 4.4.4.56 2009.02.02 -
F-Secure 8.0.14470.0 2009.02.02 -
Fortinet 3.117.0.0 2009.02.02 -
GData 19 2009.02.02 -
Ikarus T3.1.1.45.0 2009.02.02 -
K7AntiVirus 7.10.615 2009.02.02 -
Kaspersky 7.0.0.125 2009.02.02 -
McAfee 5514 2009.02.02 -
McAfee+Artemis 5514 2009.02.02 -
Microsoft 1.4306 2009.02.02 -
NOD32 3819 2009.02.02 -
Norman 6.00.02 2009.02.02 -
nProtect 2009.1.8.0 2009.02.02 -
Panda 9.5.1.2 2009.02.02 -
PCTools 4.4.2.0 2009.02.02 -
Prevx1 V2 2009.02.02 -
Rising 21.14.61.00 2009.02.01 -
SecureWeb-Gateway 6.7.6 2009.02.02 -
Sophos 4.38.0 2009.02.02 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.02 -
TheHacker 6.3.1.5.243 2009.02.02 -
TrendMicro 8.700.0.1004 2009.02.02 -
VBA32 3.12.8.12 2009.02.01 -
ViRobot 2009.2.2.1585 2009.02.02 -
VirusBuster 4.5.11.0 2009.02.02 -
weitere Informationen
File size: 107888 bytes
MD5...: 17a10cbbd38ccdf990d0282b9e7c3741
SHA1..: 9f468e128d5625196c32edbc81f5a3324543ebc8
SHA256: 4c19af4e2c2ea8121db61806605fdd3dc9120c10f9d692a5a0813621d02a0d87
SHA512: 114bf4c28ba3966768f8c7086f5d708f247a9e37c914f6e5683d2e9f98fbd84d
0390beb60168c3d13b7f793c73a20ed3a84e9499bdf600427a91e86ec758b491
ssdeep: 1536:a9DXTSmLy9s+Ja5M+LbazCSjoz0X38ki9ShJdJWTTw6I9J8WQW9wTAljaHP
G:axT1LmWUoeMfS5T6INrlja
PEiD..: -
TrID..: File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb3a8
timedatestamp.....: 0x469b782b (Mon Jul 16 13:52:43 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf6ed 0x10000 6.31 a1a01c7bd47d10846eaba82e98d39612
.rdata 0x11000 0x2b17 0x3000 4.58 192d777bac3b050911217f81108fd8e2
.data 0x14000 0x1f60 0x1000 1.54 bab23411977445099f98f176c1a0e1a1
.rsrc 0x16000 0x13c4 0x2000 5.07 06ea1fc60f56eb103fe07a918ec4f6f9
.reloc 0x18000 0x10bc 0x2000 3.53 e1c81dafdef72be67961c0c694657ab8

( 7 imports )
> ADVAPI32.dll: RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegEnumKeyExA, RegSetValueExA, RegQueryInfoKeyA
> KERNEL32.dll: GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetModuleHandleA, lstrlenA, GetModuleFileNameA, MultiByteToWideChar, lstrlenW, GetLastError, WideCharToMultiByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, lstrcmpiA, lstrcpynA, IsDBCSLeadByte, DisableThreadLibraryCalls, DeleteCriticalSection, RaiseException, lstrcpyA, lstrcatA, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, CloseHandle, ReadFile, SetFilePointer, CreateFileA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, FlushFileBuffers, SetStdHandle, LoadLibraryA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadReadPtr, GetSystemTimeAsFileTime, GetCurrentProcessId, SetEndOfFile, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, WriteFile, UnhandledExceptionFilter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, Sleep, GetCurrentProcess, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, HeapAlloc, HeapFree, HeapReAlloc, GetCommandLineA, ExitProcess, GetProcAddress, TerminateProcess, HeapDestroy, HeapCreate, VirtualFree, IsBadWritePtr, SetUnhandledExceptionFilter, HeapSize, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA
> USER32.dll: CharNextA, InsertMenuA
> SHELL32.dll: DragQueryFileA, ShellExecuteA
> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, ReleaseStgMedium, CoCreateInstance, CoTaskMemRealloc, StringFromGUID2
> OLEAUT32.dll: -, -, -, -, -, -
> SHLWAPI.dll: StrCmpIW, PathFindExtensionA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Grüße

hier noch der LOG von dem anderen USB stick, falls du den benötigst:

ComboFix 09-02-02.03 - Jan 2009-02-02 22:50:33.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2047.1191 [GMT 1:00]
ausgeführt von:: c:\users\Jan\Desktop\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: BitDefender Firewall *disabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

2009-02-02 22:06 . 2009-02-02 22:06 <DIR> d-------- c:\program files\CCleaner
2009-02-02 20:30 . 2009-02-02 20:30 121 --a------ c:\windows\bdagent.INI
2009-02-01 23:26 . 2009-02-01 23:28 250 --a------ c:\windows\gmer.ini
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\users\Jan\AppData\Roaming\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:06 <DIR> d-------- c:\programdata\Malwarebytes
2009-01-27 13:06 . 2009-01-27 13:27 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-27 13:06 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-01-27 13:06 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-01-27 12:36 . 2009-02-02 20:52 81,984 --a------ c:\windows\System32\bdod.bin
2009-01-27 12:30 . 2009-01-27 12:30 850 --a------ c:\windows\System32\ProductTweaks.xml
2009-01-27 12:30 . 2009-01-27 12:30 385 --a------ c:\windows\System32\user_gensett.xml
2009-01-27 12:25 . 2009-01-27 12:25 <DIR> d-------- c:\windows\System32\logs
2009-01-27 12:25 . 2009-01-27 12:25 <DIR> d-------- c:\users\Jan\AppData\Roaming\BitDefender
2009-01-27 12:23 . 2009-01-27 12:29 <DIR> d-------- c:\users\All Users\BitDefender
2009-01-27 12:23 . 2009-01-27 12:29 <DIR> d-------- c:\programdata\BitDefender
2009-01-27 12:23 . 2009-02-02 20:54 <DIR> d-------- c:\program files\BitDefender
2009-01-27 12:19 . 2009-01-27 12:19 <DIR> d-------- c:\windows\System32\URTTEMP
2009-01-27 12:18 . 2009-02-02 20:54 <DIR> d-------- c:\program files\Common Files\BitDefender
2009-01-27 12:10 . 2009-02-02 01:10 <DIR> d-------- c:\program files\Panda Security
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\windows\System32\Kaspersky Lab
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\users\All Users\Kaspersky Lab
2009-01-27 12:04 . 2009-01-27 12:04 <DIR> d-------- c:\programdata\Kaspersky Lab
2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- c:\users\Jan\Pavark
2009-01-26 20:40 . 2009-01-26 20:40 <DIR> d----c--- c:\windows\System32\DRVSTORE
2009-01-26 20:40 . 2009-01-18 22:30 64,160 --a------ c:\windows\System32\drivers\Lbd.sys
2009-01-26 20:35 . 2009-01-26 20:35 <DIR> d--h-c--- c:\users\All Users\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-26 20:35 . 2009-01-26 20:35 <DIR> d--h-c--- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-26 20:34 . 2009-01-26 20:42 <DIR> d-------- c:\users\All Users\Lavasoft
2009-01-26 20:34 . 2009-01-26 20:42 <DIR> d-------- c:\programdata\Lavasoft
2009-01-26 20:34 . 2009-01-26 20:34 <DIR> d-------- c:\program files\Lavasoft
2009-01-26 20:05 . 2009-01-26 20:05 <DIR> d-------- c:\program files\Trend Micro
2009-01-26 10:34 . 2009-01-26 10:37 <DIR> d-------- c:\program files\Windows Live Safety Center
2009-01-19 10:19 . 2009-01-19 10:18 410,984 --a------ c:\windows\System32\deploytk.dll
2009-01-19 09:57 . 2008-12-16 03:42 288,768 --a------ c:\windows\System32\drivers\srv.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-02 20:03 --------- d-----w c:\program files\lg_swupdate
2009-02-02 09:17 --------- d-----w c:\programdata\AntiVir PersonalEdition Classic
2009-01-19 09:18 --------- d-----w c:\program files\Java
2009-01-15 21:29 12,931 ----a-w c:\users\Jan\AppData\Roaming\nvModes.dat
2009-01-06 20:53 --------- d-----w c:\users\Jan\AppData\Roaming\teamspeak2
2009-01-05 12:18 --------- d-----w c:\program files\Common Files\Adobe
2009-01-04 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-04 20:48 --------- d-----w c:\program files\Macromedia
2009-01-04 20:45 --------- d-----w c:\program files\Opera
2009-01-01 17:16 --------- d-----w c:\users\Jan\AppData\Roaming\Leadertech
2008-12-31 21:41 --------- d-----w c:\users\Jan\AppData\Roaming\Creative
2008-12-14 17:23 --------- d-----w c:\users\Jan\AppData\Roaming\Pegasys Inc
2008-12-13 17:20 --------- d-----w c:\program files\QIP
2008-09-05 18:56 174 --sha-w c:\program files\desktop.ini
2007-12-27 17:06 32 ----a-w c:\users\All Users\ezsid.dat
2007-12-27 17:06 32 ----a-w c:\programdata\ezsid.dat
2007-12-13 11:26 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-12-13 11:26 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-12-13 11:26 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-02-02_22.21.26,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-02 21:01:50 128,422 ----a-w c:\windows\System32\perfc007.dat
+ 2009-02-02 21:51:43 128,422 ----a-w c:\windows\System32\perfc007.dat
- 2009-02-02 21:01:50 106,120 ----a-w c:\windows\System32\perfc009.dat
+ 2009-02-02 21:51:43 106,120 ----a-w c:\windows\System32\perfc009.dat
- 2009-02-02 21:01:50 632,408 ----a-w c:\windows\System32\perfh007.dat
+ 2009-02-02 21:51:43 632,408 ----a-w c:\windows\System32\perfh007.dat
- 2009-02-02 21:01:50 598,850 ----a-w c:\windows\System32\perfh009.dat
+ 2009-02-02 21:51:43 598,850 ----a-w c:\windows\System32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QIP2005"="c:\program files\QIP\qip.exe" [2008-12-09 3259392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MGSysCtrl"="c:\program files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 565248]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2008-08-17 251184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-28 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-28 81920]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-02 509784]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 c:\windows\RtHDVCpl.exe]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Google Calendar Sync.lnk - c:\program files\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-02 546288]
VPN Client.lnk - c:\program files\Cisco Systems\VPN Client\vpngui.exe [2007-04-03 1537064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2007-11-06 09:16 3096576 c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
--a------ 2007-04-28 18:05 86016 c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{FD61B95F-F42C-4730-BDDD-1DB8C3F3E052}e:\\worms\\worms worldparty\\wwp.exe"= UDP:e:\worms\worms worldparty\wwp.exe:Worms World Party
"UDP Query User{D05C9997-0323-4F95-9B52-372C5265CCEF}e:\\worms\\worms worldparty\\wwp.exe"= TCP:e:\worms\worms worldparty\wwp.exe:Worms World Party
"TCP Query User{FA41DDCD-A51D-4FD8-BC82-451974928E89}c:\\program files\\java\\jre1.6.0_02\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_02\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{54752B49-67BD-4CD9-AE8E-3987224CEBAD}c:\\program files\\java\\jre1.6.0_02\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_02\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{FD5FDE72-99AA-41C4-9715-8D0839DBF85C}c:\\program files\\qip\\qip.exe"= UDP:c:\program files\qip\qip.exe:Quiet Internet Pager
"UDP Query User{D18DD3E6-4A7E-4AA1-ABEE-09BF79512F52}c:\\program files\\qip\\qip.exe"= TCP:c:\program files\qip\qip.exe:Quiet Internet Pager
"TCP Query User{A08B6A1C-9645-4DB5-B266-8690492FB282}c:\\program files\\java\\jdk1.6.0_02\\jre\\bin\\java.exe"= UDP:c:\program files\java\jdk1.6.0_02\jre\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{493F9AD4-E51E-4474-9D2B-4AAA5714A00A}c:\\program files\\java\\jdk1.6.0_02\\jre\\bin\\java.exe"= TCP:c:\program files\java\jdk1.6.0_02\jre\bin\java.exe:Java(TM) Platform SE binary
"{0B2C32C7-5AD1-4F77-9F47-B7EAA514FF00}"= c:\users\Jan\Desktop\Jan\gezogen\Command & Conquer 3\RetailExe\1.5\cnc3game.dat:Command & Conquer 3 Tiberium Wars
"TCP Query User{D1498A19-444C-4353-9429-C7264B2C4610}c:\\users\\jan\\desktop\\jan\\gezogen\\command & conquer 3\\retailexe\\1.8\\cnc3game.dat"= UDP:c:\users\jan\desktop\jan\gezogen\command & conquer 3\retailexe\1.8\cnc3game.dat:cnc3game.dat
"UDP Query User{C133FAB4-28C8-4BE7-8BE9-DE6DA76195C8}c:\\users\\jan\\desktop\\jan\\gezogen\\command & conquer 3\\retailexe\\1.8\\cnc3game.dat"= TCP:c:\users\jan\desktop\jan\gezogen\command & conquer 3\retailexe\1.8\cnc3game.dat:cnc3game.dat
"TCP Query User{F9FC612F-5E1E-4E71-B4B7-1801780CD337}c:\\users\\jan\\desktop\\jan\\gezogen\\ut2004\\system\\ut2004.exe"= UDP:c:\users\jan\desktop\jan\gezogen\ut2004\system\ut2004.exe:ut2004.exe
"UDP Query User{F8E20296-DC67-4A6B-A976-0B43F7405C0E}c:\\users\\jan\\desktop\\jan\\gezogen\\ut2004\\system\\ut2004.exe"= TCP:c:\users\jan\desktop\jan\gezogen\ut2004\system\ut2004.exe:ut2004.exe
"{0241B77C-1613-4B59-BBA8-4CA74A952ABA}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{9C52B1D3-D6EB-4049-9EE0-59238B6004F2}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{3C805638-B6A5-4C37-86F0-020BCF0C280D}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{7A63D660-814E-402A-B8C7-DE87CA7369C9}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C75CF268-3137-47A6-A4FA-83E671895A29}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{6EBC542C-8CAC-4FA5-B46A-AFD372B1EAB8}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{5A1655E2-41A1-4852-85DB-29010D4851BC}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{60481D77-835A-4253-83B4-AA2B069C1CE1}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{2C084982-62FE-49BA-AD26-718732404075}c:\\program files\\java\\jre1.6.0_03\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_03\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{28391057-B674-4DC2-8B7D-3B99475DE7D5}c:\\program files\\valve\\hl.exe"= UDP:c:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{E67A7DEE-7026-49FA-8F79-9CCF2C534457}c:\\program files\\valve\\hl.exe"= TCP:c:\program files\valve\hl.exe:Half-Life Launcher
"TCP Query User{CDFDB2CF-5DB3-4570-B0C0-1C8E8130A5AA}c:\\program files\\hydrairc\\hydrairc.exe"= UDP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"UDP Query User{BDF92AB0-3BA3-4E29-8BAD-570013A11386}c:\\program files\\hydrairc\\hydrairc.exe"= TCP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"{DEF715A9-F5F7-4130-8AB6-BDE510F208E2}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{5664C83C-6D06-4ED3-9D26-37960EB5165D}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{20EA8BC8-5D8A-4E7D-B8C2-93AFA0D320D1}c:\\program files\\hydrairc\\hydrairc.exe"= UDP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"UDP Query User{8BE2FD80-0D79-4552-9EB5-D6E30F554CCA}c:\\program files\\hydrairc\\hydrairc.exe"= TCP:c:\program files\hydrairc\hydrairc.exe:HydraIRC
"TCP Query User{C0388E27-E767-4A73-944B-EF8A2147AD6A}c:\\program files\\mirc\\mirc.exe"= UDP:c:\program files\mirc\mirc.exe:mIRC
"UDP Query User{C0237A71-1C6B-49F1-9BE1-6D325E4F281A}c:\\program files\\mirc\\mirc.exe"= TCP:c:\program files\mirc\mirc.exe:mIRC
"TCP Query User{07EA7E23-53AE-40C7-9510-E8E5F8216C87}c:\\program files\\mirc\\mirc.exe"= UDP:c:\program files\mirc\mirc.exe:mIRC
"UDP Query User{92A48458-33D2-465D-9BCA-E4F4E6DC1B39}c:\\program files\\mirc\\mirc.exe"= TCP:c:\program files\mirc\mirc.exe:mIRC
"TCP Query User{EA47C596-AAB7-4DF1-97D1-7F1D51F8489E}c:\\program files\\valve\\hl.exe"= UDP:c:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{05110BEF-06F4-4220-9637-489F332CB089}c:\\program files\\valve\\hl.exe"= TCP:c:\program files\valve\hl.exe:Half-Life Launcher
"{F241CDE2-CEEB-403B-B7E3-4B869405D67F}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{E40259B8-E4FA-4D61-AF55-689BEFE05602}"= Disabled:TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{8FAC13C8-AAB0-4494-BF4A-1DF3C23F76A8}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{D652E77D-4230-4488-BF2E-4BB9874BA52D}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{DB9586C5-8BF7-4B75-A9E5-DBD3315131FB}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{CA7F33FF-D84F-4958-BDE9-7A73C794C772}c:\\program files\\java\\jre1.6.0_05\\bin\\javaw.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{4A2B3F80-082F-463C-9569-34442F11B351}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{815810D3-45E1-41B2-B9D9-43F52E753AA9}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{160349E4-70BD-457A-B0D9-08CC5A1BBEAC}c:\\program files\\java\\jdk1.6.0_03\\bin\\rmiregistry.exe"= UDP:c:\program files\java\jdk1.6.0_03\bin\rmiregistry.exe:Java(TM) Platform SE binary
"UDP Query User{D91A3938-D05C-4BFD-B818-7274A43B3DEA}c:\\program files\\java\\jdk1.6.0_03\\bin\\rmiregistry.exe"= TCP:c:\program files\java\jdk1.6.0_03\bin\rmiregistry.exe:Java(TM) Platform SE binary
"TCP Query User{6FE1A846-1FFC-4910-8FAA-5ED81F0B534A}c:\\program files\\java\\jre1.6.0_05\\bin\\rmiregistry.exe"= UDP:c:\program files\java\jre1.6.0_05\bin\rmiregistry.exe:Java(TM) Platform SE binary
"UDP Query User{A38D7BE2-45AB-4FAB-847F-2D61A5ECA442}c:\\program files\\java\\jre1.6.0_05\\bin\\rmiregistry.exe"= TCP:c:\program files\java\jre1.6.0_05\bin\rmiregistry.exe:Java(TM) Platform SE binary
"TCP Query User{7C81081A-6123-49E7-8E0D-A911E8FEDD86}c:\\program files\\3do\\heroes 3 complete\\heroes3.exe"= UDP:c:\program files\3do\heroes 3 complete\heroes3.exe:Heroes of Might and Magic® III
"UDP Query User{FF4EF718-C4CA-48D6-A595-FC6B340161BB}c:\\program files\\3do\\heroes 3 complete\\heroes3.exe"= TCP:c:\program files\3do\heroes 3 complete\heroes3.exe:Heroes of Might and Magic® III
"TCP Query User{329FCC26-8507-4983-A7FB-7E7344704535}c:\\windows\\system32\\dplaysvr.exe"= UDP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"UDP Query User{2CB996E6-633F-4DCE-B181-2BCEE08210F6}c:\\windows\\system32\\dplaysvr.exe"= TCP:c:\windows\system32\dplaysvr.exe:Microsoft DirectPlay-Helfer
"TCP Query User{8B4D3056-F62E-4460-9A1E-7C4CE2E40FCC}c:\\program files\\miranda im\\miranda32.exe"= UDP:c:\program files\miranda im\miranda32.exe:Miranda IM
"UDP Query User{A027C3FE-676A-4B6E-9ACA-CB5D35059CD9}c:\\program files\\miranda im\\miranda32.exe"= TCP:c:\program files\miranda im\miranda32.exe:Miranda IM
"{9E77FE68-87F3-43C5-BFAD-5F6A3DD0CE1B}"= UDP:c:\program files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{2E991FBE-7317-4968-9F61-D84B0C8A5AD1}"= TCP:c:\program files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{210C87AF-A464-4345-B41B-58EF6E919E6C}c:\\program files\\fdrlab\\anytv\\anytv.exe"= UDP:c:\program files\fdrlab\anytv\anytv.exe:anyTV exe file
"UDP Query User{2C1A070D-4857-4A9C-B821-9C87AF3A347E}c:\\program files\\fdrlab\\anytv\\anytv.exe"= TCP:c:\program files\fdrlab\anytv\anytv.exe:anyTV exe file
"TCP Query User{41C38B01-825F-455E-8629-55C3580BE538}c:\\program files\\empire interactive\\strangelite\\starship troopers\\stgame.exe"= UDP:c:\program files\empire interactive\strangelite\starship troopers\stgame.exe:Starship Troopers US/Euro2
"UDP Query User{99828CF3-F086-4024-90E8-F0051C755213}c:\\program files\\empire interactive\\strangelite\\starship troopers\\stgame.exe"= TCP:c:\program files\empire interactive\strangelite\starship troopers\stgame.exe:Starship Troopers US/Euro2
"TCP Query User{48D87E35-0381-40DC-821A-5E8F14A019BC}c:\\program files\\activision\\call of duty 4 - modern warfare\\iw3mp.exe"= UDP:c:\program files\activision\call of duty 4 - modern warfare\iw3mp.exe:iw3mp
"UDP Query User{97954A3E-1025-42E3-BE2D-98D7B5AE3D99}c:\\program files\\activision\\call of duty 4 - modern warfare\\iw3mp.exe"= TCP:c:\program files\activision\call of duty 4 - modern warfare\iw3mp.exe:iw3mp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [2009-01-26 64160]
R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [2006-11-20 38400]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [2007-03-09 35968]
R2 NishService;Evil Driver Daemon;c:\program files\LG Software\System Control Manager\edd.exe [2007-05-09 40960]
R3 MGHwCtrl;MGHwCtrl;c:\windows\System32\drivers\MGHwCtrl.sys [2007-05-09 9088]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b9c1637-6f67-11dc-a04c-0019db3d8a9b}]
\shell\AutoRun\command - F:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5d02117f-d787-11dd-8db8-9ed2c7d995d5}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL h:\resycled\boot.com f:
\shell\Open\command - h:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa60eb5e-5d9c-11dc-8a71-0019db3d8a9b}]
\shell\AutoRun\command - E:\autoplay.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-02 20:43]

2009-02-02 c:\windows\Tasks\User_Feed_Synchronization-{8403E445-6EA8-47F8-8698-6EDD57283A42}.job
- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\3ivumtu1.default\
FF - component: c:\users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\3ivumtu1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 22:53:09
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-02 22:56:04
ComboFix-quarantined-files.txt 2009-02-02 21:55:58
ComboFix2.txt 2009-02-02 21:23:29

Vor Suchlauf: 19 Verzeichnis(se), 63.235.919.872 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 63,200,866,304 Bytes frei

231 --- E O F --- 2009-02-02 14:31:34

Hat Avira wohl schon plattgemacht. Handelt sich wahrscheinlich nur um ein Fehlalarm.

Der USB-Stick ist sauber. Seit wann gibt es Probleme? Im Log sehe ich so ziemlich jedes Antivirenprogramm, das es gibt.

ciao, andreas

Hey Andreas,

vielen Dank für deine Hilfe:daumenhoc. Wie ist nun abschließend deine Einschätzung?
Ich benutze hier zwei Rechner, sollte ich die Prozedur mit dem zweiten Rechner hier auch durchführen?

Probleme hatte ich anfangs, bis malwarebytes den "DNS.Changer" gefunden hat - bis aber Malwarebytes das teil gefunden hab, hab ich jedes nur "erdenkliche " Antivirentool genutzt. Am Ende war ich mir einfach nicht mehr sicher, ob der Virus nicht sich noch irgendwo ein Hintertürchen geschaffen hat, und ich mich weiter in aktuer Gefahr befunden habe.

Sicherlich ist die eigene vernuft der beste schutz, aber gibts ein Virenprogramm, das du mir empfehlen würdest? Bitdefender war ja nicht der Brüller..

Grüße
Jan

Die Logs sind noch nicht sauber. Ich wollte nur Zeit sparen und nicht alles durchsuchen. Hast du einen Zeitpunkt, an dem die Probleme begonnen haben?

http://www.malte-wetz.de/index.php?v...ompromise.html
http://www.oschad.de/wiki/Virenscanner

Ich bin kein Experte für Antivirenprogramme, ich benutze nur brain.exe.

ciao, andreas

So richtig bewusst ist mir das erst anfang des neuen Jahres geworden. Als ich mein System nachhaltig gegen den Downadup schützen wollte, aber die updates nicht gingen.
Ich würde sagen, Antivir hat sich wohl MItte/Ende Dezember nicht mehr von alleine geupdatet. Genau weiß ich es leider nicht mehr.

Zitat:

Ich würde sagen, Antivir hat sich wohl MItte/Ende Dezember nicht mehr von alleine geupdatet. Genau weiß ich es leider nicht mehr.

Das macht die Suche nicht wirklich einfacher. :(

Es gibt einen schnellen und sicheren Weg: http://www.trojaner-board.de/51262-a...sicherung.html

Die Alternative wird dich pro Rechner mindestens 8 Stunden kosten und ist nicht wirklich sicher. Bist du wirklich bereit den zu gehen?

ciao, andreas

Hallo Andreas,

ich dank dir für deine Hilfe. Ich werde beide Rechner plattmachen und neu aufsetzen, mit der beschreibung die hier gegeben wird. Da ich direkt vor wichtigen Prüfungen stehe, werde ich mich damit danach intensiv beschäftigen.
Ich denke, damit ists am ehsten getan.

Auf jeden Fall vielen Dank nochmals für deine Hilfe.
Grüße
Jan

Gute Entscheidung. :aplaus:

Vermeide weiteren Befall:
Computersicherheit - Virenscanner
Homepage von Malte J. Wetz

ciao, andreas

solang meine Externe nicht in mitleidenshaft gezogen wurde, solls mir eine lehre sein^^
Grüße