Trojaner-Board - TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! (https://www.trojaner-board.de/70332-tr-crypt-xpack-gen-tr-dropper-gen-schwer-entfernen.html)

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!

Hallo,
ich habe seit Tagen Probleme mit den obengenanten Trojanern, Antivir schlägt regelmäßig an und findet sie immer wieder. Sie lassen sich scheinbar nicht löschen!?! Meine Taskleiste wird von Zeit zu Zeit einfach grau (wie Win 95) und mein Audio gerät wird dann nicht mehr erkannt.
Ich habe schon einige Forenbeiträge zum Thema durchgelesen, aber es war immer ein logfile zur Lösung des Problems nötig. Deshalb hier einmal meiner, würde mich sehr freuen und ich wäre sehr dankbar wenn sich eine Formatierung vermeiden liese!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:07, on 23.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6624 bytes

Schon mal vielen Dank im Voraus!!!

Nur mal auf die Schnelle:

Lade die Gmer (http://gmer.net), mach einen Scann und berichte ob ein Rootkit gefunden wird.

Marc

So haben gmer scannen lassen und es wurden rootkit aktivitäten gefunden:
Hier der gmer logf:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-23 16:53:57
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xBA91887E]
SSDT A2F30E14 ZwCreateThread
SSDT spxy.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT spxy.sys ZwEnumerateValueKey [0xBA6C9030]
SSDT spxy.sys ZwOpenKey [0xBA6AB0C0]
SSDT A2F30E00 ZwOpenProcess
SSDT A2F30E05 ZwOpenThread
SSDT spxy.sys ZwQueryKey [0xBA6C9108]
SSDT spxy.sys ZwQueryValueKey [0xBA6C8F88]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xBA918C10]
SSDT A2F30E0F ZwTerminateProcess
SSDT A2F30E0A ZwWriteVirtualMemory

INT 0x62 ? 89E51BF8
INT 0x73 ? 8924DBF8
INT 0x83 ? 8924DBF8
INT 0x84 ? 8924DBF8
INT 0xA4 ? 89DE0BF8

---- Kernel code sections - GMER 1.0.14 ----

? spxy.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B892D62C 5 Bytes JMP 8924D1D8
.text aeoxv20p.SYS B8828384 1 Byte [ 20 ]
.text aeoxv20p.SYS B8828386 35 Bytes [ 00, 68, 00, 00, 00, 00, 00, ... ]
.text aeoxv20p.SYS B88283AA 24 Bytes [ 00, 00, 20, 00, 00, E0, 00, ... ]
.text aeoxv20p.SYS B88283C4 3 Bytes [ 00, 00, 00 ]
.text aeoxv20p.SYS B88283C9 1 Byte [ 00 ]
.text ...

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] spxy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] spxy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] spxy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] spxy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] spxy.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6BBD92] spxy.sys
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89DDF1F8
Device \Driver\usbuhci \Device\USBPDO-0 8930B1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{810B722D-8A73-405F-80CB-CB6FBB7A3FD9} 8906A500
Device \Driver\usbuhci \Device\USBPDO-1 8930B1F8
Device \Driver\usbuhci \Device\USBPDO-2 8930B1F8
Device \Driver\sptd \Device\525851568 spxy.sys
Device \Driver\usbuhci \Device\USBPDO-3 8930B1F8
Device \Driver\usbehci \Device\USBPDO-4 892F41F8

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\Ftdisk \Device\HarddiskVolume1 89DE11F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DE11F8
Device \Driver\Cdrom \Device\CdRom0 8922C1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89E511F8
Device \Driver\atapi \Device\Ide\IdePort0 89E511F8
Device \Driver\Cdrom \Device\CdRom1 8922C1F8
Device \Driver\Cdrom \Device\CdRom2 8922C1F8
Device \Driver\Cdrom \Device\CdRom3 8922C1F8
Device \Driver\Cdrom \Device\CdRom4 8922C1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8906A500
Device \Driver\NetBT \Device\NetBT_Tcpip_{926BB39D-1667-4232-B69B-88AE81C3F503} 8906A500
Device \Driver\NetBT \Device\NetbiosSmb 8906A500
Device \Driver\PCI_PNP1568 \Device\0000004d spxy.sys
Device \Driver\usbuhci \Device\USBFDO-0 8930B1F8
Device \Driver\usbuhci \Device\USBFDO-1 8930B1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89074500
Device \Driver\usbuhci \Device\USBFDO-2 8930B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89074500
Device \Driver\usbuhci \Device\USBFDO-3 8930B1F8
Device \Driver\usbehci \Device\USBFDO-4 892F41F8
Device \Driver\Ftdisk \Device\FtControl 89DE11F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target0Lun0 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target1Lun0 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target3Lun0 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target2Lun0 892D61F8
Device \FileSystem\Cdfs \Cdfs 890C5500

und hier der zweite Teil, sorry ging nicht alles in einen Beitrag
und vielen Dank schon mal!!!

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSmxjt.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!
Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybdrbp <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x02 0x53 0xAB 0xEA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2B 0xCC 0x2A 0xA7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8F 0x07 0x80 0x0F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xDE 0x8E 0xCF 0x87 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xBF 0xEC 0x39 0x4B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x06 0x09 0x9E 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoitt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSvoql.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSnvuo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSdxcp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSxhyf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSproc \systemroot\system32\TDSScubs.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@DisplayName Security Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Description Wireless Management Service for Intel(R) PROSet/Wireless
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp\Parameters@ServiceDll C:\WINDOWS\system32\ewkieci.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x02 0x53 0xAB 0xEA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2B 0xCC 0x2A 0xA7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8F 0x07 0x80 0x0F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xDE 0x8E 0xCF 0x87 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xBF 0xEC 0x39 0x4B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x06 0x09 0x9E 0xF0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoitt.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSvoql.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSnvuo.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSdxcp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSxhyf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSproc \systemroot\system32\TDSScubs.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@DisplayName Security Shell
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Description Wireless Management Service for Intel(R) PROSet/Wireless
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp\Parameters@ServiceDll C:\WINDOWS\system32\ewkieci.dll

---- EOF - GMER 1.0.14 ----

Wär's jetzt nur der Conficker würde ich sagen, dass Du mit MBAM drüber gehen könntest. Jedoch irritiert mich der zweite Rootkit.
Geh lieber auf Nummer sicher und setze neu auf. Du kannst auch gerne noch warten bis sich das jemand anderes abgeschaut hat, aber tendentiell würde ich sagen, dass Du ein totes Pferd reitest.

Marc

Vilen Dank schonmal ! Würde aber momentan ungerne neu aufsetzen, was genau ist den MBAM ???
Gruß

Fabian

Zitat:

Zitat von DonHonk (Beitrag 415746)

Würde aber momentan ungerne neu aufsetzen...

Ach, den Satz habe ich schonmal gehört. In der Regel bist Du mit Datensicherung, neuaufsetzen und einspielen der gesicherten Daten schneller durch als mit einer Bereinigung. Einfacher ist es noch dazu
und Du hast wieder ein System dem Du vertrauen kannst (was nach einer solchen Bereinigung nicht der Fall ist).

Marc

Edit:
USB-Stick und andere Wechseldatenträger die Du an diesem Rechner hattest würde ich mal ganz schnell bereinigen (Linux Live CD => FAT32 Formatierung).

Hi ja prinzipiell gebe ich dir da recht, nur habe ich einen vaio rechner der ursprünglich mit vista ausgeliefert wurde, ich habe ihn aber mittlerweile glücklicherweise unter xp laufen. Kann ich aber nur mit einer selbsterstellten cd neuinstallieren, da windows sonst meine festplatte nicht erkennt, und diese habe ich im moment nicht hier. Wird noch ein paar Wochen dauern bis ich da wieder dran komme, deshalb würde ich den rechner gerne solange über Wasser halten, da ich ihn dringend brauche !

Gruß

Fabian

Hallo,
Was sagt den spybot und ad-aware zu dieser ganzen geschichte?

VooDoo

Habe gerade nochmal malwarebytes durchlaufen lassen, aber auch er findet nichts. Adaware und Spyboot haben auch glaube ich nichts dazugefunden aber lasse gerade nochmal adaware scannen.
Hast du denn noch eine Idee?
Danke dir !

Schade hat denn sonst niemand mehr eine Idee?
Ich habe jetzt wie von Vodoo empfohlen SpywareDoctor und Spywaredoctor with Antivir laufen und beide fanden

Adaware.Advertising (1 Infizierung)

ad.zannox.com/ ad.zanox.com

Application.TrackingCookies (2 Inf.)

atwola.com
m.webtrends.com

RogueAntiSpyware (1Inf.)

xpas-2009.com

HOCH- Trojan.TDSServ(59 Infizierungen)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ENUM\ROOT\LEGACY_TDSSSERV, NextInstance

......

habe nicht Detaileinträge abgeschrieben.
Was nun ?

So habe mir nun eine Vollversion des Spyware Doctors geholt und damit alle Funde bereinigt. Antivir und Spywaredoc. finden jetzt beide nichts mehr. Bin ich die Plagegeister denn jetzt los? Hier der Antivir log und HJT. Wäre cool wenn mal jemand drüber kucken könnte!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Februar 2009 00:57

Es wird nach 1262573 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: GROOVEBOX

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 09:11:35
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:12:15
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:12:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:12:16
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:11:00
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:46:17
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 18:59:24
ANTIVIR3.VDF : 7.1.2.68 65536 Bytes 23.02.2009 18:29:48
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 17:25:25
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 23.02.2009 18:29:49
AESCN.DLL : 8.1.1.7 127347 Bytes 16.02.2009 17:46:20
AERDL.DLL : 8.1.1.3 438645 Bytes 11.11.2008 21:28:14
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 20:58:27
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 17:12:44
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 20.02.2009 18:59:27
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 08:38:18
AEGEN.DLL : 8.1.1.21 336244 Bytes 23.02.2009 18:29:49
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 21:44:55
AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 18:59:35
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 21:44:54
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:12:15
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:12:15
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:46:14
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:12:15
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 05:29:43
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:12:15
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 05:29:44
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:12:16
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 05:29:44
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:12:12
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:12:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 24. Februar 2009 00:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Dienstag, 24. Februar 2009 01:56
Benötigte Zeit: 58:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

14919 Verzeichnisse wurden überprüft
495820 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
495818 Dateien ohne Befall
1793 Archive wurden durchsucht
4 Warnungen
0 Hinweise

und hier HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:06:45, on 24.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 6328 bytes

Lass gmer nochmal drüber laufen. Log bitte posten.

Hier läuft ja ganz großes Kino ab.

Zitat:

Zitat von DonHonk

Ich habe jetzt wie von Vodoo empfohlen SpywareDoctor und Spywaredoctor with Antivir laufen...

Wer lesen kann ist klar im Vorteil, denn:

Zitat:

Zitat von Voo.Doo

Was sagt den spybot und ad-aware zu dieser ganzen geschichte?

Zudem will ich gar nichts wissen, was das zu bedeuten hat:

Zitat:

Zitat von DonHonk

So habe mir nun eine Vollversion des Spyware Doctors geholt...

Dieses ganze planlose Rumfrickeln an Rootkits gehört verboten. Aber solange es 1-click-Lösungen gibt, die einem das Gefühl geben, ein sauberes System zu haben, wird es auch Honks geben, die wider allen Rates auf so etwas zurückgreifen.

Marc

Verdammt gmer hat doch noch was gefunden:
Aber das logfile is fast 4 Beiträge lang soll ich das trotzdem posten oder reicht auch erstmal der kleine? Sorry hab keine Ahnung.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-24 11:26:31
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT splt.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT splt.sys ZwEnumerateValueKey [0xBA6C9030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89DDF1F8

AttachedDevice \Driver\Tcpip \Device\Ip pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Tcp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Udp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctfw2.sys (PC Tools TDI Driver/PC Tools)

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybdrbp <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

@ Kaos & Voo.Doo
schaut mal den profis noch ein bisserl bei der schädlingsbekämpfung über die schultern bevor ihr hier aktiv mithelft
http://www.trojaner-board.de/69603-f...dem-forum.html

danke
GUA

Ähmmm was heißt das jetzt für mich ??? Wäre über Hilfe wirklich dankbar!!!

Grüße

Fabian

Zitat:

Zitat von DonHonk (Beitrag 416008)

Ähmmm was heißt das jetzt für mich ?Wäre über Hilfe wirklich dankbar!

Teste bitte, ob Du

in die Wiederherstellungskonsole kommst.
diesen Patch (KB958644) herunterladen kannst
das SP3 für Windows XP herunterladen kannst
Du MBAM inklusive des Offline-Updates herunterladen kannst

Marc

Ok alles runtergeladen! Auch schon alles installieren ?
Nur in die Wiederherstellungskonsole komm ich leider nicht. Irgendeine Fehlermeldung bezüglich Viren ober Festplattencontroler! Das is wohl nich so gut hm!?!

Fabian

Zitat:

Zitat von DonHonk (Beitrag 416212)

Das is wohl nich so gut hm!?!

Nein, ist nicht gut. Kann aber auch einfach am fehlenden SATA-Treiber liegen.

[1]Von Gmer beanstandete Diensteinträge

Prüfen auf Berechtigungseischränkung in den Dienstschlüsseln (alleiniges Zugriffsrecht für User SYSTEM):

Start > Ausführen > cmd (mit Enter bestätigen)
Die untenstehende Zeile reinkopieren (mit rechter Mausklick > Einfügen) und mit ENTER bestätigen.

Code:

reg query HKLM\System\CurrentControlSet\Services | findstr "denied"

Poste hier bitte, für welche Einträge ein Access is denied gemeldet wird.
Beispiel:

Code:

Error:  Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr

Error:  Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WmiApRpl

[2]Installation von MBAM
Installiere bitte MBAM und im Anschluss das aktuellste Offline-Update das Du in die Finger bekommen kannst. Erstmal noch nicht scannen.

Marc

Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys>

Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ybdrbp

Zitat:

Zitat von DonHonk (Beitrag 416224)

Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys>
Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ybdrbp

OK, versuchen wir es mal ohne Wiederherstellungskonsole.

Berechtigungen der Dienstschlüssel ändern

Wir ändern nun die Berechtigungen der Diensteinträge damit der Benutzer SYSTEM nicht mehr auf diese beiden Einträge zugreifen kann. Ist das erfolgreich, werden die Dienste nicht mehr gestartet und wir können mit MBAM über das System schauen.

Vergewissere Dich, dass der Account mit dem Du jetzt arbeitest, Administratorrechte hat.
Starte den Registrierungseditor (Start > Ausführen regedit)
Navigiere im Registriegunseditor zu folgendem Ziel: HKLM\System\CurrentControlSet\Services
Suche im linken Teil des Editors nach dem Schlüssel TDSSserv.sys
Rechter Mausklick auf den Schlüssel => Berechtigungen
Den Benutzer SYSTEM mit der Maus markieren und untendrunter alles bei Verweigern anklicken. Mit Klick auf Übernehmen die Änderungen bestätigen (etwaige Meckereien des Systems abnicken).
Das Prozedere für den Schlüssel ybdrbp wiederholen
Windows neustarten und kontrollieren ob die Berechtigungen noch so sind, wie Du sie eben eingestellt hast.

Sollte das nicht funktionieren, gehen wir direkt mit MBAM dran.

Marc

Ok, im regeditor gab es CurrentControlSet 001 und 003 und einfach CurrentControlSet ich habe es bei allen dreien so gemacht wie beschrieben. Es war nur gar kein Benutzer vorhanden also habe ich den Benutzer SYSTEM hinzugefügt und die Einstellungen dann für diesesn verändert. Soweit richtig? Habe neu gestartet und alles so geblieben!
Konnte insgesamt zwei Hacken bei Verweigern setzten, bei spezielle Berechtigungen ging es jedoch nicht.

Es irritiert mich doch gehörig, dass da kein Benutzer drinnenstand. Egal, schauen wir, ob die Arbeit vllt doppelt gemacht werden muss.

Scannen mit MBAM
Starte MBAM und lasse einen Scan über alle Partitionen laufen (Option: vollständiger Scan). Berichte welche Funde MBAM Dir am Ende des Scans anzeigt.

Marc

Hmm MBam hat gar nichts gefunden

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1793
Windows 5.1.2600 Service Pack 2

25.02.2009 16:40:09
mbam-log-2009-02-25 (16-40-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 253725
Laufzeit: 1 hour(s), 36 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Komisch oder?

Zitat:

Zitat von DonHonk (Beitrag 416326)

Komisch oder?

Vielleicht, vielleicht auch nicht. Ich habe keine Ahnung, was genau die andere Software abgeschossen hat.

Wir testen einfach, ob Conficker noch aktiv ist:

Schlüsselberechtigungen neusetzen

Du gibst für die beiden Schlüssel in der Registrierungsdatenbank Deinem Benutzer Vollzugriffsrechte und löscht beide Schlüssel (am besten auch in ControlSet02 und ControlSet03).
Es gibt nun drei mögliche Szenarien:

Schadsoftware vermutlich nicht mehr aktiv: die Einträge werden nicht neu geschrieben bzw. durch neue Einträge ersetzt
Schadsoftware teilaktiv: Eine Fehlermeldung begrüßt Dich und meldet, dass eine DLL nicht gefunden werden konnte.
Schadsoftware aktiv: Die Einträge sind wieder da bzw. durch neue ersetzt worden.

So setzt Du die Berechtigungen für die Schlüssel:

Navigiere wie schon vorher an den entsprechenden Punkt in der Registrierungsdatenbank.
Rufe für den ersten Schlüssel das berechtigungsmenü auf.
Füge (wie Du es mit dem Benutzer SYSTEM bereits gemacht hast) Deinen eigenen Benutzernamen hinzu und gebe ihm alle Zugriffsrechte.
Wiederhole die Prozedur für den anderen Schlüssel.

Schlüssel löschen

Ganz einfach: Rechter Mausklick auf den Schlüssel und "Löschen" anwählen.
Neustarten.
Prüfe wieder mit reg query xyz (siehe vorhergehendes Posting) ob Zugriffsverletzungen vorkommen
Prüfe ob die von Dir gelöschten Schlüssel auch wirklich weg sind und nicht neuerstellt wurden.

Falls eine fehlende DLL bemängelt wird, notiere Dir unbedingt den Namen.

Marc

Die Schlüssel lassen sich leider nicht löschen, es kommt folgende Fehlermeldung:

xy kann nicht gelöscht werden: Fehler beim löschen des Schlüsses

Zitat:

Zitat von DonHonk (Beitrag 416354)

xy kann nicht gelöscht werden: Fehler beim löschen des Schlüsses

Prüfe bitte, ob der Benutzer unter dem Du angemeldet bist Administratorrechte hat und ihm wirklich Vollzugriff auf die Schlüssel gewährt wird (siehe Abbildung).

http://img142.imageshack.us/img142/2...rechtigung.jpg

Marc

PS: Sollten beide Schafsköppe noch aktiv sein, werde ich an dieser Stelle aufhören. Es ist sowieso schon gegen meine Überzeugung an rootkitverseuchten Kisten rumzudoktern, aber ohne Wiederherstellungskonsole geh ich nicht noch weiter.

Ja ich als admin angemeldet und ja ich habe vollzugriff etc ausgewählt. Hmm schade hatte echt noch Hoffnung. Un wenn man die Schlüssel mit einem Dateikill Programm löscht ??? Oder geht das gar nicht, war nur so ne Idee?

Zitat:

Zitat von DonHonk (Beitrag 416378)

Hmm schade hatte echt noch Hoffnung. Un wenn man die Schlüssel mit einem Dateikill Programm löscht ??? Oder geht das gar nicht, war nur so ne Idee?

Irgendwie und mit irgendeinem Tool geht das schon (oder per Wiederherstellungskonsole). Die Sache ist aber hochgradig unseriös. Mein gesamter Bereinigungsversuch war das schon, denn bei multiplen Rootkits sollte man einfach kurz fuck rufen und neuaufsetzen.
Such Dir die SATA-Treiber für Deine Platte, integriere sie in die Windows XP Installations-CD und setz neu auf. Selbst wenn Du die zwei Probanden soweit bekämpfst, dass Du sie nicht mehr nachweisen kannst, kannst Du Dir nicht sicher sein, dass sie auch wirklich weg sind oder wie ein c't-Redakteur mal sinngemäß schrieb:
Man darf nur nicht auf die Idee kommen, die Abwesenheit von Anomalien als Beweis für die Sauberkeit eines Systems heranzuziehen.

Marc

Alles klar ich habe verstanden, werde den Rechner in ein paar Wochen neuaufsetzen und bis dahin online Banking über meinen anderen rechner laufen lassen.
Aber trotzdem vielen Dank für deine Mühen!!!!

Gruß

Fabian

Ok ich habe Neuaufgesetzt und bin die Plagegeister hoffentlich los!
Hier zur Kontrolle mein HJT, wäre toll wenn mir das jemand kurz bestätigen könnte!
Gmer findet auch nix mehr!

Trotz allem vielen Dank für eure Mühen!!!
Viele Grüße
Fabian

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:28, on 03.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe

--
End of file - 5190 bytes

noch eine Frage wie schließe ich den thread eigentlich , oder macht ihr das???