Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen? (https://www.trojaner-board.de/81583-windows-xp-bootet-nurnoch-debugmodus-ausloeser-sshnas-dll-win32-trojan-gen.html)

Deoss 11.01.2010 18:01
Windows XP bootet nurnoch im Debugmodus. Auslöser: sshnas.dll Win32:Trojan-gen?
 
Hallo,

Ich muss zuerst anmerken, dass ich im Bereich Sicherheit nicht sehr bewandert bin.
Bisher dachte ich, dass ein kostenloser Antivirus reicht und man ist geschützt, solange man keine .exe's öffnet oder ähnliches.
Doch dann habe ich mal zur Probe die Demoversion von Kasperksy runtergeladen und er fand doch einige Schädlinge, die der Antivir(Free) nicht finden konnte. Seit dem bin ich etwas paranoid und ich hab seit kurzem das Gefühl, dass ein Schädling sich auf meinem PC rumtreibt.

Momentan benutze ich Avast! in der Freeware Fassung, weil mir gesagt wurde, das er ganz zuverlässig ist. Er hat schon einige Schädlinge bemerkt und erfolgreich gelöscht.

Gestern aber kamen, ohne dass ich vorher auf gefährlichen Seiten gesurft habe, mehrere Meldungen die mit einem Klick auf "Löschen" im Pop-Up von Avast nicht weggingen. Im Hintergrund kam plötzlich ein Installscreen irgendeines Programms, ich weiß jedoch nicht welches, da ich sofort in meiner Panik den Stecker gezogen habe. Ich surfte(leider) mit einem Adminkonto.

So neustart- PC startet nach dem Windows Bootscreen von neu.
Hab dann alle Modi die Windows vor dem booten anbietet ausprobiert und komischerweise funktionierte nichts außer dem Debugmodus.

Hab dann Windows gestartet, diesmal mit einem eingeschränktem Benutzerkonto und Avast einen Komplettscan machen lassen. Er fand den Win32:Trojan-gen sshnas.dll, den ich sofort in den Container steckte, wo er immernoch verweilt.
Sonst ergab der Scan, dass 4000 Dateien nicht geprüft werden können. Ich wollte den Log speichern hab aber nirgendwo eine Option dafür gefunden.

So dann wieder neustart und das Problem besteht weiterhin. Malwarebytes fand nur einen Schädlichen Registry Eintrag "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel" und vorderte den PC neuzustarten.

Hab das auch getan und plötzlich lädt Windows explorer nicht, also der Bildschirm bleibt hellblau und man sieht den Zeiger mit der Sanduhr.
Wenn ich den explorer im Taskmanager ausführe läuft alles wieder, nur die Sanduhr klebt weiterhin am Zeiger.

So. Nun frage ich mich, wo das Problem liegt und wieso Avast 4000 Dateien nicht überprüfen kann.

Unten ist der RSIT log.

Wie gesagt kenne ich mich nicht sehr gut aus und falls ich vergessen habe etwas zu erwähnen dann wäre es nett wenn ihr es mir sagen würdet :)

Dankeschön im Vorraus

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-01-11 17:29:36
Microsoft Windows XP Professional Service Pack 3
System drive C: has 255 MB (1%) free of 38 GB
Total RAM: 3317 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:37, on 11.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\Mark\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Administrator.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.1\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.1\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.1\system32\igfxpers.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.2\THGuard.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [Mal Updater 2] C:\Programme\Mal Updater 2\MalUpdater.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_de;_rv:1.9.1.5)_Gecko/20091102_Firefox/3.5.5_(.NET_CLR_3.5.30729)" -"http://fieldofview.com/flickr/?page=photos/xtraboy/1807949002&tags=equirectangular"
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1993962763-706699826-1801674531-1005\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime (User 'Mark')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Rainmeter.lnk = C:\Programme\Rainmeter\Rainmeter.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O&O CleverCache - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6596 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS.1\RTHDCPL.EXE [2009-08-04 18702336]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-31 149280]
"IgfxTray"=C:\WINDOWS.1\system32\igfxtray.exe [2007-09-05 141848]
"HotKeysCmds"=C:\WINDOWS.1\system32\hkcmd.exe [2007-09-05 166424]
"Persistence"=C:\WINDOWS.1\system32\igfxpers.exe [2007-09-05 137752]
"THGuard"=C:\Programme\TrojanHunter 5.2\THGuard.exe [2009-08-27 1063072]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000]
"ooccctrl.exe"=C:\Programme\OO Software\CleverCache\ooccctrl.exe [2009-10-30 2876744]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]
"KernelFaultCheck"=C:\WINDOWS.1\system32\dumprep 0 -k []
"DWQueuedReporting"=C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe [2007-02-26 437160]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS.1\system32\ctfmon.exe [2008-04-14 15360]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"Eraser"=C:\Programme\Eraser\eraser.exe [2009-06-10 334224]
"Mal Updater 2"=C:\Programme\Mal Updater 2\MalUpdater.exe [2009-12-28 2151936]
"uTorrent"=C:\Programme\uTorrent\uTorrent.exe [2009-12-11 289584]
"TopDesk"=C:\Programme\TopDesk\topdesk.exe [2008-03-23 2105856]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"=C:\WINDOWS.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe [2009-04-29 468408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe []

C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart
Rainmeter.lnk - C:\Programme\Rainmeter\Rainmeter.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS.1\system32\igfxdev.dll [2007-08-24 208896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
WgaLogon.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\wpdshserviceobj.dll [2009-06-12 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableStatusMessages"=0
"DisableCAD"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoResolveTrack"=1
"NoResolveSearch"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version4\TeamViewer.exe"="C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe"="C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4"
"C:\Programme\Icecast2 Win32\Icecast2win.exe"="C:\Programme\Icecast2 Win32\Icecast2win.exe:*:Enabled:Icecast2win"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe"="C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2"
"C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe"="C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate"
"C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"="C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx"
"C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version5\TeamViewer.exe"="C:\Dokumente und Einstellungen\Administrator.MEIN-PC\temp\TeamViewer\Version5\TeamViewer.exe:*:Enabled:TeamViewer"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2010-01-07 20:55:36 ----D---- C:\Python26
2010-01-07 20:03:35 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 19:30:45 ----D---- C:\Programme\ImgBurn
2010-01-07 18:47:05 ----D---- C:\WINDOWS.1\system32\NtmsData
2010-01-04 03:59:19 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Opera
2010-01-04 03:59:05 ----D---- C:\Programme\Opera
2010-01-03 16:30:41 ----D---- C:\WINDOWS.1\Minidump
2010-01-03 16:08:20 ----D---- C:\rsit
2010-01-03 16:02:51 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 16:02:46 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-03 16:02:46 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 01:04:47 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 01:04:45 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 01:04:44 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 01:02:28 ----D---- C:\Programme\Planetside Software
2010-01-02 10:41:47 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 04:17:50 ----D---- C:\Programme\Panda Security
2009-12-27 22:25:52 ----D---- C:\Programme\Neva
2009-12-26 06:11:44 ----A---- C:\WINDOWS.1\system32\G2__2mY1vaP-.dll
2009-12-25 22:40:55 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 22:40:53 ----D---- C:\Programme\TopDesk
2009-12-25 22:14:11 ----D---- C:\Programme\RocketDock
2009-12-25 22:09:48 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 22:08:57 ----D---- C:\Programme\Rainmeter
2009-12-25 02:48:47 ----SHD---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\SystemProc
2009-12-24 00:01:58 ----D---- C:\Programme\SRWare Iron
2009-12-23 02:27:30 ----D---- C:\Programme\Combined Community Codec Pack
2009-12-23 02:26:02 ----A---- C:\WINDOWS.1\system32\pthreadGC2.dll
2009-12-23 02:26:02 ----A---- C:\WINDOWS.1\system32\ff_vfw.dll.manifest
2009-12-23 02:26:02 ----A---- C:\WINDOWS.1\system32\ff_vfw.dll
2009-12-23 02:26:01 ----D---- C:\Programme\ffdshow
2009-12-23 02:24:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 02:24:46 ----D---- C:\Programme\MPC HomeCinema
2009-12-22 18:51:13 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 00:21:46 ----D---- C:\Programme\Orbitdownloader
2009-12-22 00:21:46 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-18 20:19:48 ----D---- C:\Programme\MKVtoolnix
2009-12-17 23:56:53 ----D---- C:\games
2009-12-15 23:35:17 ----D---- C:\Programme\OO Software
2009-12-15 23:31:12 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 23:31:10 ----D---- C:\Programme\ProcessTamer
2009-12-15 23:31:10 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 22:48:42 ----A---- C:\WINDOWS.1\system32\MyDefragScreenSaver.exe
2009-12-15 22:48:41 ----D---- C:\Programme\MyDefrag v4.2.6
2009-12-15 22:00:23 ----D---- C:\Programme\Everything
2009-12-13 15:58:55 ----D---- C:\Programme\blueMSX
2009-12-12 00:57:19 ----A---- C:\WINDOWS.1\system32\aswBoot.exe
2009-12-12 00:57:13 ----D---- C:\Programme\Alwil Software

======List of files/folders modified in the last 1 months======

2010-01-11 17:01:26 ----D---- C:\WINDOWS.1\Prefetch
2010-01-11 16:47:18 ----D---- C:\WINDOWS.1\Temp
2010-01-11 16:12:20 ----SHD---- C:\WINDOWS.1\CSC
2010-01-11 15:45:20 ----D---- C:\WINDOWS.1
2010-01-11 15:38:22 ----A---- C:\WINDOWS.1\SchedLgU.Txt
2010-01-11 15:38:06 ----HD---- C:\WINDOWS.1\inf
2010-01-11 15:38:04 ----D---- C:\WINDOWS.1\system32\CatRoot
2010-01-11 15:37:53 ----D---- C:\WINDOWS.1\system32\CatRoot2
2010-01-11 15:37:34 ----D---- C:\WINDOWS.1\system32
2010-01-11 07:25:13 ----SHD---- C:\RECYCLER
2010-01-11 02:53:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-11 00:42:10 ----D---- C:\Programme\Mozilla Firefox
2010-01-11 00:41:03 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-11 00:39:01 ----SHD---- C:\Config.Msi
2010-01-10 22:16:11 ----SHD---- C:\WINDOWS.1\Installer
2010-01-10 22:15:39 ----D---- C:\Programme\MSECache
2010-01-09 15:47:57 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\foobar2000
2010-01-09 14:28:46 ----D---- C:\Programme\Windows Live Safety Center
2010-01-07 19:30:45 ----D---- C:\Programme
2010-01-05 13:42:14 ----D---- C:\Dokumente und Einstellungen
2010-01-04 02:22:21 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 18:41:29 ----SD---- C:\WINDOWS.1\Offline Web Pages
2010-01-03 18:41:29 ----D---- C:\WINDOWS.1\system32\drivers
2010-01-03 18:33:21 ----A---- C:\WINDOWS.1\Sandboxie.ini
2010-01-02 16:25:53 ----D---- C:\Downloads
2010-01-02 10:41:49 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Adobe
2009-12-29 04:10:16 ----RSD---- C:\WINDOWS.1\Fonts
2009-12-26 14:22:09 ----D---- C:\Programme\Mal Updater 2
2009-12-26 12:44:40 ----D---- C:\Programme\Serious Sam The First Encounter
2009-12-25 22:49:34 ----D---- C:\WINDOWS.1\system32\dllcache
2009-12-20 20:21:26 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 18:13:41 ----D---- C:\Programme\foobar2000
2009-12-15 22:55:27 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 22:43:06 ----D---- C:\usb
2009-12-15 21:52:17 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 21:51:45 ----D---- C:\WINDOWS.1\Debug
2009-12-15 21:41:03 ----SD---- C:\WINDOWS.1\Tasks
2009-12-15 21:25:14 ----D---- C:\Programme\iTunes
2009-12-15 21:25:02 ----D---- C:\Programme\iPod
2009-12-15 21:25:01 ----DC---- C:\WINDOWS.1\system32\DRVSTORE
2009-12-15 21:23:27 ----D---- C:\Programme\Icecast2 Win32
2009-12-15 21:23:19 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 21:13:57 ----D---- C:\Programme\Winamp
2009-12-15 21:08:49 ----D---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS
2009-12-13 15:59:10 ----SD---- C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft
2009-12-12 23:01:23 ----D---- C:\Programme\Adobe
2009-12-12 14:14:37 ----D---- C:\WINDOWS.1\system32\config
2009-12-12 10:04:59 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS.1\system32\drivers\Aavmker4.sys [2009-11-25 27408]
R1 Aspi32;Aspi32; C:\WINDOWS.1\system32\drivers\Aspi32.sys [2009-06-12 25244]
R1 aswSP;avast! Self Protection; C:\WINDOWS.1\system32\drivers\aswSP.sys [2009-11-25 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS.1\system32\drivers\aswTdi.sys [2009-11-25 48560]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS.1\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 truecrypt;truecrypt; C:\WINDOWS.1\System32\drivers\truecrypt.sys [2009-10-14 217664]
R2 adfs;adfs; C:\WINDOWS.1\system32\drivers\adfs.sys [2008-08-14 74720]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS.1\system32\DRIVERS\aswFsBlk.sys [2009-11-25 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS.1\system32\drivers\aswMon2.sys [2009-11-25 94160]
R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOWS.1\system32\DRIVERS\rspndr.sys [2009-06-12 62848]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS.1\system32\DRIVERS\arp1394.sys [2009-06-12 60800]
R3 aswRdr;aswRdr; C:\WINDOWS.1\system32\drivers\aswRdr.sys [2009-11-25 23120]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS.1\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS.1\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS.1\system32\DRIVERS\igxpmp32.sys [2007-08-24 5776928]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS.1\system32\drivers\RtkHDAud.sys [2009-08-05 5874176]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS.1\system32\DRIVERS\mouhid.sys [2009-06-12 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS.1\system32\DRIVERS\nic1394.sys [2009-06-12 61824]
R3 SbieDrv;SbieDrv; \??\C:\Programme\Sandboxie\SbieDrv.sys []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS.1\system32\DRIVERS\usbehci.sys [2009-03-18 30336]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS.1\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS.1\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS.1\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 Ambfilt;Ambfilt; C:\WINDOWS.1\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 Dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS.1\system32\DRIVERS\Dot4.sys [2008-04-13 206976]
S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS.1\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\WINDOWS.1\system32\DRIVERS\dot4usb.sys [2001-08-18 23936]
S3 Monfilt;Monfilt; C:\WINDOWS.1\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS.1\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS.1\system32\DRIVERS\WudfPf.sys [2009-06-12 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS.1\system32\DRIVERS\wudfrd.sys [2009-06-12 82944]
S4 exFat;exFat; C:\WINDOWS.1\system32\drivers\exFat.sys [2009-06-12 133632]
S4 IntelIde;IntelIde; C:\WINDOWS.1\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS.1\System32\drivers\ws2ifsl.sys [2003-04-02 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-31 153376]
R2 O&O CleverCache;O&O CleverCache; C:\Programme\OO Software\CleverCache\ooccag.exe [2009-10-30 701768]
R2 SbieSvc;Sandboxie Service; C:\Programme\Sandboxie\SbieSvc.exe [2009-09-30 65024]
R2 StarWindServiceAE;StarWind AE Service; C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [2007-05-28 275968]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS.1\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS.1\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-10-10 655624]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS.1\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS.1\System32\svchost.exe [2009-06-12 14848]
S3 idsvc;Windows CardSpace; C:\WINDOWS.1\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung); C:\WINDOWS.1\System32\svchost.exe [2009-06-12 14848]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS.1\system32\svchost.exe [2009-06-12 14848]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS.1\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

cosinus 12.01.2010 08:49
Hallo und :hallo:

Zitat:
Bisher dachte ich, dass ein kostenloser Antivirus reicht und man ist geschützt, solange man keine .exe's öffnet oder ähnliches.
Ein Virenscanner allein reicht nicht, auch nicht nur das aufpassen, dass man nicht auf dubiose .exe klickt - Du musst auch ständig zB Software aktuell halten!

Zitat:
Er hat schon einige Schädlinge bemerkt und erfolgreich gelöscht.
Hm, wenns "recht zuverlässig" sein soll, wie kann denn Deiner Meinung nach überhaupt Dein System befallen worden sein? ;)
Man verlässt sich nicht auf den Virenscanner, Du musst auch selbst Dein Verhalten so anpassen, dass es am besten garnicht erst zum Befall kommt.

Zitat:
diesmal mit einem eingeschränktem Benutzerkonto und Avast einen Komplettscan machen lassen. Er fand den Win32:Trojan-gen sshnas.dll, den ich sofort in den Container steckte, wo er immernoch verweilt.
In einem eingeschränkten Konto?! Wie soll das gehen, mit eingeschränkten Rechten kannst Du zB nichts entfernen, was im Windowsordner bzw. in Unterverzeichnissen davon ist, weil die Rechte dazu fehlen!

Die Logs von RSIT sind da, probier bitte einen Durchlauf mit Malwarebytes und poste das Log.

Deoss 12.01.2010 19:17
So. Nochmal mit Malwarebytes gescannt.

Ein alter Log
Code:
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.01.2010 18:36:46
mbam-log-2010-01-03 (18-36-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|Z:\|)
Durchsuchte Objekte: 329442
Laufzeit: 58 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\jsykm.exe (Trojan.Dropper) -> No action taken.
C:\Programme\Pcsx2\plugins\PadSSSPSX.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\sermcwxaon.tmp (Trojan.Dropper) -> No action taken.
Z:\Bilder\pno0001.exe (Malware.Packer.Krunchy) -> No action taken.
Z:\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\wkomr.exe (Trojan.Downloader) -> No action taken.
Dann der heutige.

Nach dem scannen.
Code:
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2010 18:44:24
mbam-log-2010-01-12 (18-44-16).txt

Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 339969
Laufzeit: 1 hour(s), 0 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\.COMMgr\complmgr.exe (Trojan.Scar) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\mexowncasr.tmp (Trojan.Scar) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\rxncsemawo.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5TYJHJ9L\Setup[1].exe (Adware.Agent) -> No action taken.
Nach der Löschung.

Code:
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3486
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2010 18:45:15
mbam-log-2010-01-12 (18-45-15).txt

Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 339969
Laufzeit: 1 hour(s), 0 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\.COMMgr\complmgr.exe (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\mexowncasr.tmp (Trojan.Scar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\rxncsemawo.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temp\Setup.tmp (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5TYJHJ9L\Setup[1].exe (Adware.Agent) -> Quarantined and deleted successfully.
Pc bootet weiterhin nur im Debugmodus :(

Außerdem ist der PC nun total lahm und meine Browser haben nun macken.
Firefox funktioniert nur einige Minuten, bis er abstürzt und sich nicht neustarten lässt, Iron zeigt nach wenigen Minuten nur noch einen Punkt an, statt der Seite. Opera und Safari lassen sich nicht öffnen und es wird der IE aufgerufen und oben steht dann der Pfad und "Seite wurde nicht gefunden". Der IE konnte auch keine Seite aufrufen und es stand dass sie zur Sicherheit gesperrt wurde. Nach der Säuberung durch Malwarebytes scheinen die Browser jedenfalls wieder zu funktionieren, habe aber keine Ahnung ob sie wieder aussetzen. Sehe aber grade dass im Mwb Log steht, dass die Browser in der Registry manipuliert wurden und der Fehler behoben wurde. Hoffentlich stimmt das.

EDIT: Browser läuft soweit, wollte aber ohne meinen willen 2 Mal irgendwelche Sites aufrufen die von Avast gesperrt wurden. Konnte den Link leider nicht notieren,

Avast hat 2 Schädlinge gefunden: "a.exe" Win32:Rootkit-gen und "nersmwxcao.tmp" Win32:FakeAV-AFU in C\DuE\Admin.MEIN-PC\Lokale Einstellungen\Temp

Was soll ich nun machen?

cosinus 12.01.2010 20:32
Heißt das, dass Windows nun auch wieder in den normalen Modus hochfährt?

Deoss 12.01.2010 21:09
Zitat:
Zitat von Deoss (Beitrag 494946)
Pc bootet weiterhin nur im Debugmodus :(
Nein. Normal startet er nicht.

cosinus 12.01.2010 21:17
Hm ich seh da einen exFAT Treiber. Nutzt Du dieses Dateisystem, scheint ja eher unüblich zu sein, und hast Du diesen treiber erst kürzlich installiert?

Was genau steht im Bluescreen wenn Du normal booten willst?

Deoss 12.01.2010 22:53
Zitat:
Zitat von cosinus (Beitrag 495004)
Hm ich seh da einen exFAT Treiber. Nutzt Du dieses Dateisystem, scheint ja eher unüblich zu sein, und hast Du diesen treiber erst kürzlich installiert?

Was genau steht im Bluescreen wenn Du normal booten willst?
Hm weiß nichts von dem exFAT Treiber.
Es kommt ja nichtmal ein Bluescreen, es wird einfach sofort neu gestartet.

Browser gingen grade auch nicht: Content Encoding Fehler beim Firefox, einfach eine weiße Seite bei Iron und endlose Wartezeit bei Opera und Seite kann nicht aufgerufen werden bei IE. Nach dem restart gehen die wieder, aber keine ahnung wie Lange. Hab das Gefühl, dass mich der Virus ausperren will.
Außerdem öffnete Fireofx und später auch Opera einfach so eine Seite die ich nicht aufgerufen habe

Sie lautete in beiden Fällen (ACHTUNG SEITE POTENZIELL GEFÄHRLICH) LINK ENTFERNT

Chris4You 12.01.2010 23:18
Hi,

kurz reinspring:
die Verbindung musst Du sofort kappen, die Seite hat einen:
Zitat:
1 hidden external link found.
Moreover, Google currently lists this page as suspicious*
Nimm den Link bitte hier wieder raus!

chris&out
Tschuldigung cosinus!

cosinus 13.01.2010 09:04
Hm, selbst wenn wir bereinigen weiß ich nicht, ob man in den ganz normalen Modus wieder kommen wird :(
Sicherer hast Du die Schädlinge allemal durchs Neuaufsetzen gelöscht. Wenn Dir Daten sichern + Formatieren gerade nicht passt, dann probiere CF auf eigene Gefahr im Debugmodus aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Deoss 13.01.2010 18:52
So ComboFix scan durchgeführt.

So startet jetzt normal und bisher konnte ich keine Fehler entdecken :)

Vielen Dank für die Hilfe :)

Und was sagt der Log?

Code:
ComboFix 10-01-12.05 - Administrator 13.01.2010  18:13:08.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3317.2866 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\cofi.exe
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\BITS\UPnP.ini
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\SystemProc
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\BITS\UPnP.ini
c:\programme\FlashGet Network
c:\programme\FlashGet Network\FlashGet universal\dbtrans_verbose.log
c:\programme\FlashGet Network\FlashGet universal\fgoption.ini
c:\programme\FlashGet Network\FlashGet universal\P2PCfg.ini
c:\programme\FlashGet Network\FlashGet universal\p2spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\p4spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\Profiles\config.dat
c:\programme\FlashGet Network\FlashGet universal\Profiles\tasks.dat
c:\programme\FlashGet Network\FlashGet universal\transaction.log
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
c:\programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
C:\Thumbs.db
c:\windows.1\system32\lowsec
c:\windows.1\system32\lowsec\local.ds
c:\windows.1\system32\lowsec\user.ds
c:\windows.1\system32\sdra64.exe
c:\windows.1\system32\SIntf16.dll
c:\windows.1\unins000.dat
c:\windows.1\unins000.exe

Infizierte Kopie von c:\windows.1\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2009-12-13 bis 2010-01-13  ))))))))))))))))))))))))))))))
.

2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\system32\wbem\snmp
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\system32\xircom
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\srchasst
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\programme\microsoft frontpage
2010-01-13 16:27 . 2009-12-02 13:19        15880        ----a-w-        c:\windows.1\system32\lsdelete.exe
2010-01-13 14:38 . 2009-12-02 13:19        64288        ----a-w-        c:\windows.1\system32\drivers\Lbd.sys
2010-01-13 14:35 . 2010-01-13 14:35        --------        dc-h--w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-13 14:34 . 2010-01-13 14:38        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Lavasoft
2010-01-13 14:34 . 2010-01-13 14:34        --------        d-----w-        c:\programme\Lavasoft
2010-01-11 18:53 . 2010-01-11 18:53        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\Thinstall
2010-01-11 18:40 . 2010-01-11 19:33        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\foobar2000
2010-01-11 17:51 . 2010-01-11 17:51        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-01-11 15:26 . 2010-01-11 15:26        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-11 15:20 . 2010-01-11 15:20        --------        d-sh--w-        c:\dokumente und einstellungen\Benutzer2\IECompatCache
2010-01-11 14:51 . 2010-01-11 14:51        --------        d-sh--w-        c:\dokumente und einstellungen\Benutzer2\PrivacIE
2010-01-11 06:26 . 2010-01-11 21:31        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-11 03:01 . 2010-01-11 03:01        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\Malwarebytes
2010-01-11 01:53 . 2010-01-12 17:45        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\.COMMgr
2010-01-07 19:55 . 2010-01-07 19:56        --------        d-----w-        C:\Python26
2010-01-07 19:03 . 2010-01-07 19:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 18:30 . 2010-01-07 18:35        --------        d-----w-        c:\programme\ImgBurn
2010-01-07 17:47 . 2010-01-07 17:47        --------        d-----w-        c:\windows.1\system32\NtmsData
2010-01-05 12:43 . 2010-01-05 12:43        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-04 02:59        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-12 16:16        --------        d-----w-        c:\programme\Opera
2010-01-03 15:08 . 2010-01-03 15:08        --------        d-----w-        C:\rsit
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:55        38224        ----a-w-        c:\windows.1\system32\drivers\mbamswissarmy.sys
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:54        19160        ----a-w-        c:\windows.1\system32\drivers\mbam.sys
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 00:02 . 2010-01-03 00:02        --------        d-----w-        c:\programme\Planetside Software
2010-01-02 09:41 . 2010-01-02 09:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Library
2010-01-02 09:41 . 2010-01-02 09:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 03:18 . 2009-06-30 08:37        28552        ----a-w-        c:\windows.1\system32\drivers\pavboot.sys
2010-01-02 03:17 . 2010-01-02 03:17        --------        d-----w-        c:\programme\Panda Security
2009-12-27 21:25 . 2009-12-27 21:41        --------        d-----w-        c:\programme\Neva
2009-12-26 05:11 . 2009-12-26 05:11        1187840        ----a-w-        c:\windows.1\system32\G2__2mY1vaP-.dll
2009-12-26 00:43 . 2009-12-26 00:44        --------        d-----w-        c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:49 . 2008-04-25 18:41        218624        ----a-w-        c:\windows.1\system32\dllcache\uxtheme.dll
2009-12-25 21:40 . 2009-12-25 21:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 21:40 . 2009-12-25 21:40        --------        d-----w-        c:\programme\TopDesk
2009-12-25 21:14 . 2009-12-25 21:14        --------        d-----w-        c:\programme\RocketDock
2009-12-25 21:09 . 2009-12-25 21:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:08 . 2009-12-25 21:09        --------        d-----w-        c:\programme\Rainmeter
2009-12-23 23:02 . 2009-12-23 23:02        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Chromium
2009-12-23 23:01 . 2009-12-23 23:02        --------        d-----w-        c:\programme\SRWare Iron
2009-12-23 01:27 . 2009-12-23 01:27        --------        d-----w-        c:\programme\Combined Community Codec Pack
2009-12-23 01:26 . 2008-12-17 18:22        57344        ----a-w-        c:\windows.1\system32\ff_vfw.dll
2009-12-23 01:26 . 2008-12-11 12:26        60273        ----a-w-        c:\windows.1\system32\pthreadGC2.dll
2009-12-23 01:26 . 2009-12-23 01:26        --------        d-----w-        c:\programme\ffdshow
2009-12-23 01:24 . 2009-12-23 01:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 01:24 . 2009-12-23 01:24        --------        d-----w-        c:\programme\MPC HomeCinema
2009-12-22 17:51 . 2009-12-22 17:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 07:01 . 2010-01-04 18:02        --------        d-----w-        c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\Orbit
2009-12-21 23:21 . 2010-01-04 19:27        --------        d-----w-        c:\programme\Orbitdownloader
2009-12-21 23:21 . 2010-01-04 19:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-20 14:50 . 2009-12-23 14:21        --------        d-----w-        c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 19:19 . 2009-12-18 19:19        --------        d-----w-        c:\programme\MKVtoolnix
2009-12-17 22:56 . 2009-12-17 22:56        --------        d-----w-        C:\games
2009-12-15 22:35 . 2009-12-15 22:35        --------        d-----w-        c:\programme\OO Software
2009-12-15 22:31 . 2009-12-15 22:31        46        ----a-w-        c:\windows.1\system32\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31        46        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 22:31 . 2009-12-15 23:07        --------        d-----w-        c:\programme\ProcessTamer
2009-12-15 22:31 . 2009-12-15 22:31        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 21:48 . 2009-11-14 06:37        931328        ----a-w-        c:\windows.1\system32\MyDefragScreenSaver.exe
2009-12-15 21:48 . 2009-12-16 02:32        --------        d-----w-        c:\programme\MyDefrag v4.2.6
2009-12-15 21:48 . 2009-11-14 06:37        93696        ----a-w-        c:\windows.1\system32\MyDefragScreenSaver.scr
2009-12-15 21:00 . 2010-01-12 21:56        --------        d-----w-        c:\programme\Everything

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 16:40 . 2009-09-17 13:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-12 21:39 . 2009-10-22 15:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-10 21:15 . 2009-08-13 14:38        --------        d-----w-        c:\programme\MSECache
2010-01-09 13:28 . 2009-08-07 22:16        --------        d-----w-        c:\programme\Windows Live Safety Center
2010-01-05 12:42 . 2010-01-05 12:42        44752        ----a-w-        c:\dokumente und einstellungen\Benutzer2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 12:42 . 2010-01-05 12:42        --------        d-----w-        c:\dokumente und einstellungen\Benutzer2\Anwendungsdaten\Rainmeter
2010-01-04 01:22 . 2009-10-12 12:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 22:29 . 2009-10-23 22:58        36376        ---ha-w-        c:\windows.1\system32\mlfcache.dat
2010-01-03 00:02 . 2010-01-03 00:02        13094        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_2cd672ae.exe
2010-01-03 00:02 . 2010-01-03 00:02        13094        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_16496df1.exe
2010-01-03 00:02 . 2010-01-03 00:02        1078        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_69525f90.exe
2009-12-29 12:19 . 2009-09-07 22:55        44752        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-29 06:26 . 2009-10-07 11:12        44752        ----a-w-        c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 18:16 . 2009-09-07 22:18        1100        ----a-w-        c:\windows.1\system32\d3d8caps.dat
2009-12-26 13:22 . 2009-10-22 15:08        --------        d-----w-        c:\programme\Mal Updater 2
2009-12-26 11:44 . 2009-12-04 21:03        --------        d-----w-        c:\programme\Serious Sam The First Encounter
2009-12-25 01:52 . 2009-12-24 15:46        79488        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-24 15:46 . 2009-12-24 15:46        152576        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-23 14:34 . 2009-11-26 10:26        --------        d-----w-        c:\dokumente und einstellungen\Benutzer1.MEIN-PC\Anwendungsdaten\vlc
2009-12-20 19:21 . 2009-09-15 11:55        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 17:13 . 2009-10-08 21:17        --------        d-----w-        c:\programme\foobar2000
2009-12-16 04:25 . 2009-12-24 15:46        267552        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2009-12-15 21:55 . 2009-11-18 06:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 20:52 . 2009-12-03 18:48        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:31 . 2009-12-15 20:31        15600        ----a-w-        c:\windows.1\system32\drivers\???????
2009-12-15 20:25 . 2009-07-17 04:01        --------        d-----w-        c:\programme\iTunes
2009-12-15 20:25 . 2009-07-22 20:26        --------        d-----w-        c:\programme\iPod
2009-12-15 20:23 . 2009-10-10 23:45        --------        d-----w-        c:\programme\Icecast2 Win32
2009-12-15 20:23 . 2009-08-20 09:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 20:13 . 2009-10-08 20:04        --------        d-----w-        c:\programme\Winamp
2009-12-14 02:08 . 2009-12-13 14:58        --------        d-----w-        c:\programme\blueMSX
2009-12-13 14:59 . 2009-12-13 14:59        3638        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_4ae13d6c.exe
2009-12-13 14:59 . 2009-12-13 14:59        3638        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_2cd672ae.exe
2009-12-13 14:59 . 2009-12-13 14:59        3638        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_294823.exe
2009-12-13 14:59 . 2009-12-13 14:59        1078        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_69525f90.exe
2009-12-13 14:59 . 2009-12-13 14:59        1078        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_18be6784.exe
2009-12-12 09:04 . 2009-11-10 16:33        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira
2009-12-11 23:57 . 2009-12-11 23:57        --------        d-----w-        c:\programme\Alwil Software
2009-12-11 19:24 . 2009-09-08 11:24        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TeamViewer
2009-12-11 18:30 . 2009-12-11 18:30        53760        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
2009-12-11 18:24 . 2009-12-11 18:24        53760        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\rundll32.exe
2009-12-10 13:54 . 2003-04-02 15:00        455474        ----a-w-        c:\windows.1\system32\perfh007.dat
2009-12-10 13:54 . 2003-04-02 15:00        82920        ----a-w-        c:\windows.1\system32\perfc007.dat
2009-12-07 23:33 . 2009-12-04 22:52        21840        ----atw-        c:\windows.1\system32\SIntfNT.dll
2009-12-07 23:33 . 2009-12-04 22:52        17212        ----atw-        c:\windows.1\system32\SIntf32.dll
2009-12-07 16:45 . 2009-07-06 22:39        56816        ----a-w-        c:\windows.1\system32\drivers\avgntflt.sys
2009-12-07 14:10 . 2010-01-13 14:35        2953352        -c--a-w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2009-12-05 14:05 . 2009-12-05 14:05        --------        d-----w-        c:\programme\Fox
2009-12-05 14:05 . 2009-07-06 22:26        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-12-04 23:39 . 2009-12-04 23:39        --------        d-----w-        c:\programme\Smart Projects
2009-12-04 17:07 . 2009-07-15 12:28        --------        d-----w-        c:\programme\Messenger Plus! Live
2009-12-04 07:18 . 2009-12-01 23:39        --------        d-----w-        c:\programme\Spesoft Audio Converter
2009-12-03 20:42 . 2009-11-28 13:05        --------        d-----w-        c:\programme\TrojanHunter 5.2
2009-12-03 18:50 . 2009-12-03 18:48        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2009-12-01 23:40 . 2009-12-01 23:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Spesoft Audio Converter
2009-12-01 19:59 . 2009-08-20 09:37        --------        d-----w-        c:\programme\DVDVideoSoft
2009-11-30 21:22 . 2009-10-14 22:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrueCrypt
2009-11-30 20:10 . 2009-11-30 20:10        916506        ----a-w-        c:\programme\TrueCrypt User Guide.pdf
2009-11-30 20:10 . 2009-11-30 20:10        26038        ----a-w-        c:\programme\License.txt
2009-11-30 20:10 . 2009-11-30 20:10        223440        ----a-w-        c:\programme\truecrypt.sys
2009-11-30 20:10 . 2009-11-30 20:10        222160        ----a-w-        c:\programme\truecrypt-x64.sys
2009-11-30 20:10 . 2009-11-30 20:10        1562064        ----a-w-        c:\programme\TrueCrypt Format.exe
2009-11-30 20:10 . 2009-11-30 20:10        1415632        ----a-w-        c:\programme\TrueCrypt.exe
2009-11-30 15:32 . 2009-11-30 15:32        --------        d-----w-        c:\programme\Pixologic
2009-11-28 15:44 . 2009-11-28 15:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrojanHunter
2009-11-27 00:16 . 2009-09-30 18:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall
2009-11-26 23:41 . 2009-11-26 23:41        --------        d-----w-        c:\programme\Papercut
2009-11-25 10:10 . 2009-07-06 20:22        --------        d-----w-        c:\programme\MSXML 4.0
2009-11-24 23:54 . 2009-12-11 23:57        1280480        ----a-w-        c:\windows.1\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 23:57        93424        ----a-w-        c:\windows.1\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 23:57        94160        ----a-w-        c:\windows.1\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 23:57        114768        ----a-w-        c:\windows.1\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 23:57        20560        ----a-w-        c:\windows.1\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 23:57        48560        ----a-w-        c:\windows.1\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 23:57        23120        ----a-w-        c:\windows.1\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 23:57        27408        ----a-w-        c:\windows.1\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 23:57        97480        ----a-w-        c:\windows.1\system32\AvastSS.scr
2009-11-22 18:29 . 2009-11-22 18:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Picturenaut
2009-11-18 06:44 . 2009-11-18 06:44        587        ----a-w-        c:\windows.1\uninstallstickies.bat
2009-11-18 06:44 . 2009-11-18 06:44        --------        d-----w-        c:\programme\stickies
2009-10-29 07:40 . 2009-06-12 16:02        916480        ----a-w-        c:\windows.1\system32\wininet.dll
2009-10-28 21:07 . 2009-10-28 21:06        91724839        ----a-w-        C:\Portable_Photoshop_CS3.exe
2009-10-26 07:24 . 2009-10-26 07:24        2149888        ----a-w-        c:\windows.1\system32\python26.dll
2009-10-21 05:38 . 2008-04-14 05:52        75776        ----a-w-        c:\windows.1\system32\strmfilt.dll
2009-10-21 05:38 . 2008-04-14 05:52        25088        ----a-w-        c:\windows.1\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 22:23        265728        ----a-w-        c:\windows.1\system32\drivers\http.sys
2006-05-03 09:06 . 2009-10-21 21:51        163328        --sh--r-        c:\windows.1\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-21 21:51        31232        --sh--r-        c:\windows.1\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-21 21:51        216064        --sh--r-        c:\windows.1\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2009-06-12 . B5B1080D35974C0E718D64280761BCD5 . 182912 . . [5.1.2600.5588] . . c:\windows.1\system32\drivers\ndis.sys

[-] 2009-03-23 . AE8CAD8F28DB13B515A68510A539B0B8 . 576512 . . [5.1.2600.5782] . . c:\windows.1\system32\drivers\ntfs.sys

[-] 2009-06-12 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows.1\system32\drivers\tcpip.sys

[-] 2009-06-12 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows.1\system32\rpcss.dll

[-] 2009-06-12 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows.1\system32\services.exe

[-] 2009-09-07 . 20F8788529557A0C219CE18C01995E99 . 514560 . . [5.1.2600.5788] . . c:\windows.1\system32\winlogon.exe

[-] 2009-06-12 15:58 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows.1\system32\es.dll

[-] 2009-06-12 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows.1\system32\kernel32.dll

[-] 2009-06-12 . 0544248EB86E02F99E0762C3A0854ABD . 343040 . . [7.0.2600.5701] . . c:\windows.1\system32\msvcrt.dll

[-] 2009-06-12 . 4AA50627B01C0E9C6B4C6BD3AF648F12 . 247296 . . [5.1.2600.5625] . . c:\windows.1\system32\mswsock.dll

[-] 2009-06-12 . 98731276ECE6966F4DA540FAB9512F6F . 408064 . . [5.1.2600.5741] . . c:\windows.1\system32\netlogon.dll

[-] 2009-06-12 . 67E38B4A549833E02D4D1617B5DBC318 . 14848 . . [5.1.2600.5689] . . c:\windows.1\system32\svchost.exe

[-] 2009-06-12 . 6C02B5D856674ECCCE64CE8BB8DCE8D9 . 249856 . . [5.1.2600.5654] . . c:\windows.1\system32\tapisrv.dll

[-] 2009-06-12 . D999CF40BD4EEB69FAB32069CA9D65B1 . 1036800 . . [6.00.2900.5634] . . c:\windows.1\explorer.exe

[-] 2009-06-12 . 462861CE6678C2886313B5E9F6EA0AD9 . 298496 . . [5.1.2600.5733] . . c:\windows.1\system32\termsrv.dll

[-] 2009-06-12 16:03 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows.1\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\tbEaz1.dll" [2009-11-06 2166296]

[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2009-12-11 289584]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe" [2009-04-29 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"IgfxTray"="c:\windows.1\system32\igfxtray.exe" [2007-09-05 141848]
"HotKeysCmds"="c:\windows.1\system32\hkcmd.exe" [2007-09-05 166424]
"Persistence"="c:\windows.1\system32\igfxpers.exe" [2007-09-05 137752]
"THGuard"="c:\programme\TrojanHunter 5.2\THGuard.exe" [2009-08-27 1063072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ooccctrl.exe"="c:\programme\OO Software\CleverCache\ooccctrl.exe" [2009-10-30 2876744]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-12 128512]
"IE8"="advpack.dll" [2009-06-12 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS.1^Startmenü^Programme^Autostart^Rainmeter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart\Rainmeter.lnk
backup=c:\windows.1\pss\Rainmeter.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Administrator.MEIN-PC\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 Lbd;Lbd;c:\windows.1\system32\drivers\Lbd.sys [13.01.2010 15:38 64288]
R0 pavboot;pavboot;c:\windows.1\system32\drivers\pavboot.sys [02.01.2010 04:18 28552]
R1 aswSP;avast! Self Protection;c:\windows.1\system32\drivers\aswSP.sys [12.12.2009 00:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.1\system32\drivers\aswFsBlk.sys [12.12.2009 00:57 20560]
R2 O&O CleverCache;O&O CleverCache;c:\programme\OO Software\CleverCache\ooccag.exe [30.10.2009 22:19 701768]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [30.09.2009 10:15 116736]
S3 Ambfilt;Ambfilt;c:\windows.1\system32\drivers\Ambfilt.sys [07.09.2009 23:17 1684736]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows.1\System32\svchost.exe -k WinRM [12.06.2009 16:59 14848]
S4 sptd;sptd;c:\windows.1\system32\drivers\sptd.sys [20.09.2009 17:36 721904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM        REG_MULTI_SZ          WINRM
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-{1F6D1DB5-82B5-41A4-85A2-0A382C142A35}_is1 - c:\windows.1\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 18:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\

[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paejiapadcfgmjoalhmmedceeoiejcla"=hex:6b,61,61,61,6e,6d,61,6d,67,64,6f,62,64,
  69,63,69,62,6a,70,62,66,68,00,7f
"oachgfoapjbcphgmpinnnbanlondhj"=hex:6a,61,70,70,68,6d,69,6f,6f,63,62,65,6b,68,
  68,6d,70,6f,6d,66,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3052)
c:\programme\Windows Media Player\wmpband.dll
c:\windows.1\system32\msi.dll
c:\windows.1\system32\webcheck.dll
c:\windows.1\system32\wpdshserviceobj.dll
c:\windows.1\system32\portabledevicetypes.dll
c:\windows.1\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows.1\RTHDCPL.EXE
c:\windows.1\system32\igfxsrvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows.1\system32\wscntfy.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13  18:32:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-13 17:32

Vor Suchlauf: 2.088.103.936 Bytes frei
Nach Suchlauf: 2.845.257.728 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.1
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.1="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 8031D5163E07C8FAF257269BCBC0D370

cosinus 13.01.2010 20:26
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
KILLALL::

RegNull::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]

RegLockDel::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

Folder::
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}
c:\dokumente und einstellungen\Administrator.MEIN-PC\.COMMgr

File::
c:\windows.1\system32\G2__2mY1vaP-.dll
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Deoss 14.01.2010 01:05
Ok

Code:
ComboFix 10-01-13.07 - Vanda 14.01.2010  0:45.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3317.2889 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows.1\system32\G2__2mY1vaP-.dll"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator.MEIN-PC\.COMMgr
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_16496df1.exe
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_2cd672ae.exe
c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{A892C5E6-B04D-4CAB-95DA-A52038B97B01}\_69525f90.exe
c:\windows.1\system32\G2__2mY1vaP-.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2009-12-13 bis 2010-01-13  ))))))))))))))))))))))))))))))
.

2010-01-13 18:42 . 2010-01-13 18:42        --------        d-----w-        c:\programme\Exif Tag Remover
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\system32\wbem\snmp
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\system32\xircom
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\srchasst
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\programme\microsoft frontpage
2010-01-13 16:27 . 2009-12-02 13:19        15880        ----a-w-        c:\windows.1\system32\lsdelete.exe
2010-01-13 14:38 . 2009-12-02 13:19        64288        ----a-w-        c:\windows.1\system32\drivers\Lbd.sys
2010-01-13 14:35 . 2010-01-13 14:35        --------        dc-h--w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-13 14:34 . 2010-01-13 14:38        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Lavasoft
2010-01-13 14:34 . 2010-01-13 14:34        --------        d-----w-        c:\programme\Lavasoft
2010-01-11 18:53 . 2010-01-11 18:53        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\Thinstall
2010-01-11 18:40 . 2010-01-11 19:33        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\foobar2000
2010-01-11 17:51 . 2010-01-11 17:51        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-01-11 15:26 . 2010-01-11 15:26        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-11 15:20 . 2010-01-11 15:20        --------        d-sh--w-        c:\dokumente und einstellungen\Mark\IECompatCache
2010-01-11 14:51 . 2010-01-11 14:51        --------        d-sh--w-        c:\dokumente und einstellungen\Mark\PrivacIE
2010-01-11 06:26 . 2010-01-11 21:31        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-11 03:01 . 2010-01-11 03:01        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\Malwarebytes
2010-01-07 19:55 . 2010-01-07 19:56        --------        d-----w-        C:\Python26
2010-01-07 19:03 . 2010-01-07 19:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 18:30 . 2010-01-07 18:35        --------        d-----w-        c:\programme\ImgBurn
2010-01-07 17:47 . 2010-01-07 17:47        --------        d-----w-        c:\windows.1\system32\NtmsData
2010-01-05 12:43 . 2010-01-05 12:43        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-04 02:59        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-12 16:16        --------        d-----w-        c:\programme\Opera
2010-01-03 15:08 . 2010-01-03 15:08        --------        d-----w-        C:\rsit
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:55        38224        ----a-w-        c:\windows.1\system32\drivers\mbamswissarmy.sys
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:54        19160        ----a-w-        c:\windows.1\system32\drivers\mbam.sys
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 00:02 . 2010-01-03 00:02        --------        d-----w-        c:\programme\Planetside Software
2010-01-02 09:41 . 2010-01-02 09:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Library
2010-01-02 09:41 . 2010-01-02 09:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 03:18 . 2009-06-30 08:37        28552        ----a-w-        c:\windows.1\system32\drivers\pavboot.sys
2010-01-02 03:17 . 2010-01-02 03:17        --------        d-----w-        c:\programme\Panda Security
2009-12-27 21:25 . 2009-12-27 21:41        --------        d-----w-        c:\programme\Neva
2009-12-26 00:43 . 2009-12-26 00:44        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:49 . 2008-04-25 18:41        218624        ----a-w-        c:\windows.1\system32\dllcache\uxtheme.dll
2009-12-25 21:40 . 2009-12-25 21:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 21:40 . 2009-12-25 21:40        --------        d-----w-        c:\programme\TopDesk
2009-12-25 21:14 . 2009-12-25 21:14        --------        d-----w-        c:\programme\RocketDock
2009-12-25 21:09 . 2009-12-25 21:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:08 . 2009-12-25 21:09        --------        d-----w-        c:\programme\Rainmeter
2009-12-23 23:02 . 2009-12-23 23:02        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Chromium
2009-12-23 23:01 . 2009-12-23 23:02        --------        d-----w-        c:\programme\SRWare Iron
2009-12-23 01:27 . 2009-12-23 01:27        --------        d-----w-        c:\programme\Combined Community Codec Pack
2009-12-23 01:26 . 2008-12-17 18:22        57344        ----a-w-        c:\windows.1\system32\ff_vfw.dll
2009-12-23 01:26 . 2008-12-11 12:26        60273        ----a-w-        c:\windows.1\system32\pthreadGC2.dll
2009-12-23 01:26 . 2009-12-23 01:26        --------        d-----w-        c:\programme\ffdshow
2009-12-23 01:24 . 2009-12-23 01:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 01:24 . 2009-12-23 01:24        --------        d-----w-        c:\programme\MPC HomeCinema
2009-12-22 17:51 . 2009-12-22 17:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 07:01 . 2010-01-04 18:02        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Orbit
2009-12-21 23:21 . 2010-01-04 19:27        --------        d-----w-        c:\programme\Orbitdownloader
2009-12-21 23:21 . 2010-01-04 19:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-20 14:50 . 2009-12-23 14:21        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 19:19 . 2009-12-18 19:19        --------        d-----w-        c:\programme\MKVtoolnix
2009-12-17 22:56 . 2009-12-17 22:56        --------        d-----w-        C:\games
2009-12-15 22:35 . 2009-12-15 22:35        --------        d-----w-        c:\programme\OO Software
2009-12-15 22:31 . 2009-12-15 22:31        46        ----a-w-        c:\windows.1\system32\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31        46        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 22:31 . 2009-12-15 23:07        --------        d-----w-        c:\programme\ProcessTamer
2009-12-15 22:31 . 2009-12-15 22:31        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 21:48 . 2009-11-14 06:37        931328        ----a-w-        c:\windows.1\system32\MyDefragScreenSaver.exe
2009-12-15 21:48 . 2009-12-16 02:32        --------        d-----w-        c:\programme\MyDefrag v4.2.6
2009-12-15 21:48 . 2009-11-14 06:37        93696        ----a-w-        c:\windows.1\system32\MyDefragScreenSaver.scr
2009-12-15 21:00 . 2010-01-12 21:56        --------        d-----w-        c:\programme\Everything

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 23:37 . 2009-09-17 13:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-13 23:37 . 2009-10-08 21:17        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\foobar2000
2010-01-13 20:32 . 2009-07-11 21:08        --------        d-----w-        c:\programme\DAEMON Tools Lite
2010-01-13 20:31 . 2009-07-12 20:53        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2010-01-13 19:51 . 2009-09-20 16:36        691696        ----a-w-        c:\windows.1\system32\drivers\sptd.sys
2010-01-13 19:51 . 2009-09-27 22:47        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DAEMON Tools Lite
2010-01-12 21:39 . 2009-10-22 15:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-10 21:15 . 2009-08-13 14:38        --------        d-----w-        c:\programme\MSECache
2010-01-09 13:28 . 2009-08-07 22:16        --------        d-----w-        c:\programme\Windows Live Safety Center
2010-01-05 12:42 . 2010-01-05 12:42        44752        ----a-w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 12:42 . 2010-01-05 12:42        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\Rainmeter
2010-01-04 01:22 . 2009-10-12 12:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 22:29 . 2009-10-23 22:58        36376        ---ha-w-        c:\windows.1\system32\mlfcache.dat
2009-12-29 12:19 . 2009-09-07 22:55        44752        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-29 06:26 . 2009-10-07 11:12        44752        ----a-w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 18:16 . 2009-09-07 22:18        1100        ----a-w-        c:\windows.1\system32\d3d8caps.dat
2009-12-26 13:22 . 2009-10-22 15:08        --------        d-----w-        c:\programme\Mal Updater 2
2009-12-26 11:44 . 2009-12-04 21:03        --------        d-----w-        c:\programme\Serious Sam The First Encounter
2009-12-25 01:52 . 2009-12-24 15:46        79488        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-24 15:46 . 2009-12-24 15:46        152576        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-23 14:34 . 2009-11-26 10:26        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\vlc
2009-12-20 19:21 . 2009-09-15 11:55        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 17:13 . 2009-10-08 21:17        --------        d-----w-        c:\programme\foobar2000
2009-12-16 04:25 . 2009-12-24 15:46        267552        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2009-12-15 21:55 . 2009-11-18 06:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 20:52 . 2009-12-03 18:48        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:31 . 2009-12-15 20:31        15600        ----a-w-        c:\windows.1\system32\drivers\???????
2009-12-15 20:25 . 2009-07-17 04:01        --------        d-----w-        c:\programme\iTunes
2009-12-15 20:25 . 2009-07-22 20:26        --------        d-----w-        c:\programme\iPod
2009-12-15 20:23 . 2009-10-10 23:45        --------        d-----w-        c:\programme\Icecast2 Win32
2009-12-15 20:23 . 2009-08-20 09:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 20:13 . 2009-10-08 20:04        --------        d-----w-        c:\programme\Winamp
2009-12-14 02:08 . 2009-12-13 14:58        --------        d-----w-        c:\programme\blueMSX
2009-12-13 14:59 . 2009-12-13 14:59        3638        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_4ae13d6c.exe
2009-12-13 14:59 . 2009-12-13 14:59        3638        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_2cd672ae.exe
2009-12-13 14:59 . 2009-12-13 14:59        3638        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_294823.exe
2009-12-13 14:59 . 2009-12-13 14:59        1078        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_69525f90.exe
2009-12-13 14:59 . 2009-12-13 14:59        1078        ----a-r-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Microsoft\Installer\{05C02EE9-9F0A-4052-A4DA-8621F729B1F5}\_18be6784.exe
2009-12-12 09:04 . 2009-11-10 16:33        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira
2009-12-11 23:57 . 2009-12-11 23:57        --------        d-----w-        c:\programme\Alwil Software
2009-12-11 19:24 . 2009-09-08 11:24        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TeamViewer
2009-12-11 18:30 . 2009-12-11 18:30        53760        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe
2009-12-11 18:24 . 2009-12-11 18:24        53760        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\rundll32.exe
2009-12-10 13:54 . 2003-04-02 15:00        455474        ----a-w-        c:\windows.1\system32\perfh007.dat
2009-12-10 13:54 . 2003-04-02 15:00        82920        ----a-w-        c:\windows.1\system32\perfc007.dat
2009-12-07 23:33 . 2009-12-04 22:52        21840        ----atw-        c:\windows.1\system32\SIntfNT.dll
2009-12-07 23:33 . 2009-12-04 22:52        17212        ----atw-        c:\windows.1\system32\SIntf32.dll
2009-12-07 16:45 . 2009-07-06 22:39        56816        ----a-w-        c:\windows.1\system32\drivers\avgntflt.sys
2009-12-07 14:10 . 2010-01-13 14:35        2953352        -c--a-w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2009-12-05 14:05 . 2009-12-05 14:05        --------        d-----w-        c:\programme\Fox
2009-12-05 14:05 . 2009-07-06 22:26        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-12-04 23:39 . 2009-12-04 23:39        --------        d-----w-        c:\programme\Smart Projects
2009-12-04 17:07 . 2009-07-15 12:28        --------        d-----w-        c:\programme\Messenger Plus! Live
2009-12-04 07:18 . 2009-12-01 23:39        --------        d-----w-        c:\programme\Spesoft Audio Converter
2009-12-03 20:42 . 2009-11-28 13:05        --------        d-----w-        c:\programme\TrojanHunter 5.2
2009-12-03 18:50 . 2009-12-03 18:48        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2009-12-01 23:40 . 2009-12-01 23:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Spesoft Audio Converter
2009-12-01 19:59 . 2009-08-20 09:37        --------        d-----w-        c:\programme\DVDVideoSoft
2009-11-30 21:22 . 2009-10-14 22:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrueCrypt
2009-11-30 20:10 . 2009-11-30 20:10        916506        ----a-w-        c:\programme\TrueCrypt User Guide.pdf
2009-11-30 20:10 . 2009-11-30 20:10        26038        ----a-w-        c:\programme\License.txt
2009-11-30 20:10 . 2009-11-30 20:10        223440        ----a-w-        c:\programme\truecrypt.sys
2009-11-30 20:10 . 2009-11-30 20:10        222160        ----a-w-        c:\programme\truecrypt-x64.sys
2009-11-30 20:10 . 2009-11-30 20:10        1562064        ----a-w-        c:\programme\TrueCrypt Format.exe
2009-11-30 20:10 . 2009-11-30 20:10        1415632        ----a-w-        c:\programme\TrueCrypt.exe
2009-11-30 15:32 . 2009-11-30 15:32        --------        d-----w-        c:\programme\Pixologic
2009-11-28 15:44 . 2009-11-28 15:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrojanHunter
2009-11-27 00:16 . 2009-09-30 18:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall
2009-11-26 23:41 . 2009-11-26 23:41        --------        d-----w-        c:\programme\Papercut
2009-11-25 10:10 . 2009-07-06 20:22        --------        d-----w-        c:\programme\MSXML 4.0
2009-11-24 23:54 . 2009-12-11 23:57        1280480        ----a-w-        c:\windows.1\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 23:57        93424        ----a-w-        c:\windows.1\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 23:57        94160        ----a-w-        c:\windows.1\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 23:57        114768        ----a-w-        c:\windows.1\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 23:57        20560        ----a-w-        c:\windows.1\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 23:57        48560        ----a-w-        c:\windows.1\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 23:57        23120        ----a-w-        c:\windows.1\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 23:57        27408        ----a-w-        c:\windows.1\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 23:57        97480        ----a-w-        c:\windows.1\system32\AvastSS.scr
2009-11-22 18:29 . 2009-11-22 18:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Picturenaut
2009-11-18 06:44 . 2009-11-18 06:44        587        ----a-w-        c:\windows.1\uninstallstickies.bat
2009-11-18 06:44 . 2009-11-18 06:44        --------        d-----w-        c:\programme\stickies
2009-10-29 07:40 . 2009-06-12 16:02        916480        ------w-        c:\windows.1\system32\wininet.dll
2009-10-28 21:07 . 2009-10-28 21:06        91724839        ----a-w-        C:\Portable_Photoshop_CS3.exe
2009-10-26 07:24 . 2009-10-26 07:24        2149888        ----a-w-        c:\windows.1\system32\python26.dll
2009-10-21 05:38 . 2008-04-14 05:52        75776        ----a-w-        c:\windows.1\system32\strmfilt.dll
2009-10-21 05:38 . 2008-04-14 05:52        25088        ----a-w-        c:\windows.1\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 22:23        265728        ----a-w-        c:\windows.1\system32\drivers\http.sys
2006-05-03 09:06 . 2009-10-21 21:51        163328        --sh--r-        c:\windows.1\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-21 21:51        31232        --sh--r-        c:\windows.1\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-21 21:51        216064        --sh--r-        c:\windows.1\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2009-06-12 . B5B1080D35974C0E718D64280761BCD5 . 182912 . . [5.1.2600.5588] . . c:\windows.1\system32\drivers\ndis.sys

[-] 2009-03-23 . AE8CAD8F28DB13B515A68510A539B0B8 . 576512 . . [5.1.2600.5782] . . c:\windows.1\system32\drivers\ntfs.sys

[-] 2009-06-12 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows.1\system32\drivers\tcpip.sys

[-] 2009-06-12 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows.1\system32\rpcss.dll

[-] 2009-06-12 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows.1\system32\services.exe

[-] 2009-09-07 . 20F8788529557A0C219CE18C01995E99 . 514560 . . [5.1.2600.5788] . . c:\windows.1\system32\winlogon.exe

[-] 2009-06-12 15:58 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows.1\system32\es.dll

[-] 2009-06-12 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows.1\system32\kernel32.dll

[-] 2009-06-12 . 0544248EB86E02F99E0762C3A0854ABD . 343040 . . [7.0.2600.5701] . . c:\windows.1\system32\msvcrt.dll

[-] 2009-06-12 . 4AA50627B01C0E9C6B4C6BD3AF648F12 . 247296 . . [5.1.2600.5625] . . c:\windows.1\system32\mswsock.dll

[-] 2009-06-12 . 98731276ECE6966F4DA540FAB9512F6F . 408064 . . [5.1.2600.5741] . . c:\windows.1\system32\netlogon.dll

[-] 2009-06-12 . 67E38B4A549833E02D4D1617B5DBC318 . 14848 . . [5.1.2600.5689] . . c:\windows.1\system32\svchost.exe

[-] 2009-06-12 . 6C02B5D856674ECCCE64CE8BB8DCE8D9 . 249856 . . [5.1.2600.5654] . . c:\windows.1\system32\tapisrv.dll

[-] 2009-06-12 . D999CF40BD4EEB69FAB32069CA9D65B1 . 1036800 . . [6.00.2900.5634] . . c:\windows.1\explorer.exe

[-] 2009-06-12 . 462861CE6678C2886313B5E9F6EA0AD9 . 298496 . . [5.1.2600.5733] . . c:\windows.1\system32\termsrv.dll

[-] 2009-06-12 16:03 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows.1\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((  SnapShot@2010-01-13_17.26.53  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-13 23:52 . 2010-01-13 23:52        16384              c:\windows.1\Temp\Perflib_Perfdata_c8.dat
+ 2010-01-13 23:52 . 2010-01-13 23:52        16384              c:\windows.1\Temp\Perflib_Perfdata_568.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\tbEaz1.dll" [2009-11-06 2166296]

[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2009-12-11 289584]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe" [2009-04-29 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"IgfxTray"="c:\windows.1\system32\igfxtray.exe" [2007-09-05 141848]
"HotKeysCmds"="c:\windows.1\system32\hkcmd.exe" [2007-09-05 166424]
"Persistence"="c:\windows.1\system32\igfxpers.exe" [2007-09-05 137752]
"THGuard"="c:\programme\TrojanHunter 5.2\THGuard.exe" [2009-08-27 1063072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ooccctrl.exe"="c:\programme\OO Software\CleverCache\ooccctrl.exe" [2009-10-30 2876744]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-12 128512]
"IE8"="advpack.dll" [2009-06-12 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS.1^Startmenü^Programme^Autostart^Rainmeter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart\Rainmeter.lnk
backup=c:\windows.1\pss\Rainmeter.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Administrator.MEIN-PC\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 Lbd;Lbd;c:\windows.1\system32\drivers\Lbd.sys [13.01.2010 15:38 64288]
R0 pavboot;pavboot;c:\windows.1\system32\drivers\pavboot.sys [02.01.2010 04:18 28552]
R0 sptd;sptd;c:\windows.1\system32\drivers\sptd.sys [20.09.2009 17:36 691696]
R1 aswSP;avast! Self Protection;c:\windows.1\system32\drivers\aswSP.sys [12.12.2009 00:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.1\system32\drivers\aswFsBlk.sys [12.12.2009 00:57 20560]
R2 O&O CleverCache;O&O CleverCache;c:\programme\OO Software\CleverCache\ooccag.exe [30.10.2009 22:19 701768]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [30.09.2009 10:15 116736]
S3 Ambfilt;Ambfilt;c:\windows.1\system32\drivers\Ambfilt.sys [07.09.2009 23:17 1684736]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows.1\System32\svchost.exe -k WinRM [12.06.2009 16:59 14848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM        REG_MULTI_SZ          WINRM
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-13 c:\windows.1\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 00:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spgg.sys >>UNKNOWN [0x8A6A9938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> 0x899871b0
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> 0x899871b0
NDIS: Intel 21143-basierter PCI-Fast Ethernetadapter (Standard) -> SendCompleteHandler -> NDIS.sys @ 0xb9cf9bd4
 PacketIndicateHandler -> NDIS.sys @ 0xb9d05b21
 SendHandler -> NDIS.sys @ 0xb9cf9d44
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ea,df,94,b2,9d,2e,6e,4a,a4,de,b5,\

[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paejiapadcfgmjoalhmmedceeoiejcla"=hex:6b,61,61,61,6e,6d,61,6d,67,64,6f,62,64,
  69,63,69,62,6a,70,62,66,68,00,7f
"oachgfoapjbcphgmpinnnbanlondhj"=hex:6a,61,70,70,68,6d,69,6f,6f,63,62,65,6b,68,
  68,6d,70,6f,6d,66,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2944)
c:\programme\Windows Media Player\wmpband.dll
c:\windows.1\system32\msi.dll
c:\windows.1\system32\webcheck.dll
c:\windows.1\system32\wpdshserviceobj.dll
c:\windows.1\system32\portabledevicetypes.dll
c:\windows.1\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows.1\RTHDCPL.EXE
c:\windows.1\system32\igfxsrvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows.1\system32\wscntfy.exe
c:\programme\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-14  00:59:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-13 23:59
ComboFix2.txt  2010-01-13 17:51

Vor Suchlauf: 2.713.620.480 Bytes frei
Nach Suchlauf: 2.690.564.096 Bytes frei

- - End Of File - - 7E4B41247BB006EE8C126E083F199430

cosinus 14.01.2010 08:27
Da müssen wir nochmal ran...bitte das gleiche nochmal machen (Scripten mit Combofix) benutz diesmal aber dieses Script:

Code:
KILLALL::

RegNull::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7339289B-8B81-C50D-AFD8-EF1FE1192188}*]

RegLockDel::
[HKEY_USERS\S-1-5-21-1993962763-706699826-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"=-
"EnableFirewall"=-

Deoss 14.01.2010 16:27
Ok :)

Code:
ComboFix 10-01-13.0C - Administrator 14.01.2010  16:03:43.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3317.2757 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MEIN-PC\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100114-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows.1\system32\winlogon.bak

.
(((((((((((((((((((((((  Dateien erstellt von 2009-12-14 bis 2010-01-14  ))))))))))))))))))))))))))))))
.

2010-01-14 06:22 . 2010-01-14 06:22        --------        d-sh--w-        c:\dokumente und einstellungen\Vanda_2\PrivacIE
2010-01-14 06:17 . 2010-01-14 06:18        --------        d-----r-        c:\dokumente und einstellungen\Vanda_2\Eigene Dateien
2010-01-13 18:42 . 2010-01-13 18:42        --------        d-----w-        c:\programme\Exif Tag Remover
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\system32\wbem\snmp
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\system32\xircom
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\windows.1\srchasst
2010-01-13 17:25 . 2010-01-13 17:25        --------        d-----w-        c:\programme\microsoft frontpage
2010-01-13 16:27 . 2009-12-02 13:19        15880        ----a-w-        c:\windows.1\system32\lsdelete.exe
2010-01-13 14:38 . 2009-12-02 13:19        64288        ----a-w-        c:\windows.1\system32\drivers\Lbd.sys
2010-01-13 14:35 . 2010-01-13 14:35        --------        dc-h--w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-13 14:34 . 2010-01-13 14:38        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Lavasoft
2010-01-13 14:34 . 2010-01-13 14:34        --------        d-----w-        c:\programme\Lavasoft
2010-01-11 18:53 . 2010-01-11 18:53        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\Thinstall
2010-01-11 18:40 . 2010-01-11 19:33        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\foobar2000
2010-01-11 17:51 . 2010-01-11 17:51        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-01-11 15:26 . 2010-01-11 15:26        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-11 15:20 . 2010-01-11 15:20        --------        d-sh--w-        c:\dokumente und einstellungen\Mark\IECompatCache
2010-01-11 14:51 . 2010-01-11 14:51        --------        d-sh--w-        c:\dokumente und einstellungen\Mark\PrivacIE
2010-01-11 06:26 . 2010-01-11 21:31        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-01-11 03:01 . 2010-01-11 03:01        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\Malwarebytes
2010-01-07 19:55 . 2010-01-07 19:56        --------        d-----w-        C:\Python26
2010-01-07 19:03 . 2010-01-07 19:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\ImgBurn
2010-01-07 18:30 . 2010-01-07 18:35        --------        d-----w-        c:\programme\ImgBurn
2010-01-07 17:47 . 2010-01-07 17:47        --------        d-----w-        c:\windows.1\system32\NtmsData
2010-01-05 12:43 . 2010-01-05 12:43        --------        d-----w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-04 02:59        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Opera
2010-01-04 02:59 . 2010-01-12 16:16        --------        d-----w-        c:\programme\Opera
2010-01-03 15:08 . 2010-01-03 15:08        --------        d-----w-        C:\rsit
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:55        38224        ----a-w-        c:\windows.1\system32\drivers\mbamswissarmy.sys
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-01-03 15:02 . 2010-01-03 15:02        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Malwarebytes
2010-01-03 15:02 . 2009-12-30 13:54        19160        ----a-w-        c:\windows.1\system32\drivers\mbam.sys
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Planetside Software
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uk.co.planetside
2010-01-03 00:04 . 2010-01-03 00:04        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\TEMP
2010-01-03 00:02 . 2010-01-03 00:02        --------        d-----w-        c:\programme\Planetside Software
2010-01-02 09:41 . 2010-01-02 09:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Library
2010-01-02 09:41 . 2010-01-02 09:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\com.adobe.ExMan
2010-01-02 03:18 . 2009-06-30 08:37        28552        ----a-w-        c:\windows.1\system32\drivers\pavboot.sys
2010-01-02 03:17 . 2010-01-02 03:17        --------        d-----w-        c:\programme\Panda Security
2009-12-27 21:25 . 2009-12-27 21:41        --------        d-----w-        c:\programme\Neva
2009-12-26 00:43 . 2009-12-26 00:44        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:49 . 2008-04-25 18:41        218624        ----a-w-        c:\windows.1\system32\dllcache\uxtheme.dll
2009-12-25 21:40 . 2009-12-25 21:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\OtakuSoftware
2009-12-25 21:40 . 2009-12-25 21:40        --------        d-----w-        c:\programme\TopDesk
2009-12-25 21:14 . 2009-12-25 21:14        --------        d-----w-        c:\programme\RocketDock
2009-12-25 21:09 . 2009-12-25 21:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Rainmeter
2009-12-25 21:08 . 2009-12-25 21:09        --------        d-----w-        c:\programme\Rainmeter
2009-12-23 23:02 . 2009-12-23 23:02        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\Chromium
2009-12-23 23:01 . 2009-12-23 23:02        --------        d-----w-        c:\programme\SRWare Iron
2009-12-23 01:27 . 2009-12-23 01:27        --------        d-----w-        c:\programme\Combined Community Codec Pack
2009-12-23 01:26 . 2008-12-17 18:22        57344        ----a-w-        c:\windows.1\system32\ff_vfw.dll
2009-12-23 01:26 . 2008-12-11 12:26        60273        ----a-w-        c:\windows.1\system32\pthreadGC2.dll
2009-12-23 01:26 . 2009-12-23 01:26        --------        d-----w-        c:\programme\ffdshow
2009-12-23 01:24 . 2009-12-23 01:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Media Player Classic
2009-12-23 01:24 . 2009-12-23 01:24        --------        d-----w-        c:\programme\MPC HomeCinema
2009-12-22 17:51 . 2009-12-22 17:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\GrabPro
2009-12-22 07:01 . 2010-01-04 18:02        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\Orbit
2009-12-21 23:21 . 2010-01-04 19:27        --------        d-----w-        c:\programme\Orbitdownloader
2009-12-21 23:21 . 2010-01-04 19:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Orbit
2009-12-20 14:50 . 2009-12-23 14:21        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 19:19 . 2009-12-18 19:19        --------        d-----w-        c:\programme\MKVtoolnix
2009-12-17 22:56 . 2009-12-17 22:56        --------        d-----w-        C:\games
2009-12-15 22:35 . 2009-12-15 22:35        --------        d-----w-        c:\programme\OO Software
2009-12-15 22:31 . 2009-12-15 22:31        46        ----a-w-        c:\windows.1\system32\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31        46        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\DonationCoder_processtamer_InstallInfo.dat
2009-12-15 22:31 . 2009-12-15 22:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\DonationCoder
2009-12-15 22:31 . 2009-12-15 23:07        --------        d-----w-        c:\programme\ProcessTamer
2009-12-15 22:31 . 2009-12-15 22:31        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DonationCoder
2009-12-15 21:48 . 2009-11-14 06:37        931328        ----a-w-        c:\windows.1\system32\MyDefragScreenSaver.exe
2009-12-15 21:48 . 2009-12-16 02:32        --------        d-----w-        c:\programme\MyDefrag v4.2.6
2009-12-15 21:48 . 2009-11-14 06:37        93696        ----a-w-        c:\windows.1\system32\MyDefragScreenSaver.scr
2009-12-15 21:00 . 2010-01-12 21:56        --------        d-----w-        c:\programme\Everything

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 15:15 . 2009-09-17 13:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\uTorrent
2010-01-13 23:37 . 2009-10-08 21:17        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\foobar2000
2010-01-13 20:32 . 2009-07-11 21:08        --------        d-----w-        c:\programme\DAEMON Tools Lite
2010-01-13 20:31 . 2009-07-12 20:53        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2010-01-13 19:51 . 2009-09-20 16:36        691696        ----a-w-        c:\windows.1\system32\drivers\sptd.sys
2010-01-13 19:51 . 2009-09-27 22:47        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\DAEMON Tools Lite
2010-01-12 21:39 . 2009-10-22 15:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mal Updater
2010-01-10 21:15 . 2009-08-13 14:38        --------        d-----w-        c:\programme\MSECache
2010-01-09 13:28 . 2009-08-07 22:16        --------        d-----w-        c:\programme\Windows Live Safety Center
2010-01-05 12:42 . 2010-01-05 12:42        44752        ----a-w-        c:\dokumente und einstellungen\Mark\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-05 12:42 . 2010-01-05 12:42        --------        d-----w-        c:\dokumente und einstellungen\Mark\Anwendungsdaten\Rainmeter
2010-01-04 01:22 . 2009-10-12 12:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\vlc
2010-01-03 22:29 . 2009-10-23 22:58        36376        ---ha-w-        c:\windows.1\system32\mlfcache.dat
2009-12-29 12:19 . 2009-09-07 22:55        44752        ----a-w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-29 06:26 . 2009-10-07 11:12        44752        ----a-w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 18:16 . 2009-09-07 22:18        1100        ----a-w-        c:\windows.1\system32\d3d8caps.dat
2009-12-26 13:22 . 2009-10-22 15:08        --------        d-----w-        c:\programme\Mal Updater 2
2009-12-26 11:44 . 2009-12-04 21:03        --------        d-----w-        c:\programme\Serious Sam The First Encounter
2009-12-23 14:34 . 2009-11-26 10:26        --------        d-----w-        c:\dokumente und einstellungen\Vanda.MEIN-PC\Anwendungsdaten\vlc
2009-12-20 19:21 . 2009-09-15 11:55        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\dvdcss
2009-12-18 17:13 . 2009-10-08 21:17        --------        d-----w-        c:\programme\foobar2000
2009-12-15 21:55 . 2009-11-18 06:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\stickies
2009-12-15 20:52 . 2009-12-03 18:48        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:31 . 2009-12-15 20:31        15600        ----a-w-        c:\windows.1\system32\drivers\???????
2009-12-15 20:25 . 2009-07-17 04:01        --------        d-----w-        c:\programme\iTunes
2009-12-15 20:25 . 2009-07-22 20:26        --------        d-----w-        c:\programme\iPod
2009-12-15 20:23 . 2009-10-10 23:45        --------        d-----w-        c:\programme\Icecast2 Win32
2009-12-15 20:23 . 2009-08-20 09:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-15 20:13 . 2009-10-08 20:04        --------        d-----w-        c:\programme\Winamp
2009-12-14 02:08 . 2009-12-13 14:58        --------        d-----w-        c:\programme\blueMSX
2009-12-12 09:04 . 2009-11-10 16:33        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS.1\Anwendungsdaten\Avira
2009-12-11 23:57 . 2009-12-11 23:57        --------        d-----w-        c:\programme\Alwil Software
2009-12-11 19:24 . 2009-09-08 11:24        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TeamViewer
2009-12-10 13:54 . 2003-04-02 15:00        455474        ----a-w-        c:\windows.1\system32\perfh007.dat
2009-12-10 13:54 . 2003-04-02 15:00        82920        ----a-w-        c:\windows.1\system32\perfc007.dat
2009-12-07 23:33 . 2009-12-04 22:52        21840        ----atw-        c:\windows.1\system32\SIntfNT.dll
2009-12-07 23:33 . 2009-12-04 22:52        17212        ----atw-        c:\windows.1\system32\SIntf32.dll
2009-12-07 16:45 . 2009-07-06 22:39        56816        ----a-w-        c:\windows.1\system32\drivers\avgntflt.sys
2009-12-05 14:05 . 2009-12-05 14:05        --------        d-----w-        c:\programme\Fox
2009-12-05 14:05 . 2009-07-06 22:26        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-12-04 23:39 . 2009-12-04 23:39        --------        d-----w-        c:\programme\Smart Projects
2009-12-04 17:07 . 2009-07-15 12:28        --------        d-----w-        c:\programme\Messenger Plus! Live
2009-12-04 07:18 . 2009-12-01 23:39        --------        d-----w-        c:\programme\Spesoft Audio Converter
2009-12-03 20:42 . 2009-11-28 13:05        --------        d-----w-        c:\programme\TrojanHunter 5.2
2009-12-03 18:50 . 2009-12-03 18:48        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2009-12-01 23:40 . 2009-12-01 23:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Spesoft Audio Converter
2009-12-01 19:59 . 2009-08-20 09:37        --------        d-----w-        c:\programme\DVDVideoSoft
2009-11-30 21:22 . 2009-10-14 22:51        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrueCrypt
2009-11-30 20:10 . 2009-11-30 20:10        916506        ----a-w-        c:\programme\TrueCrypt User Guide.pdf
2009-11-30 20:10 . 2009-11-30 20:10        26038        ----a-w-        c:\programme\License.txt
2009-11-30 20:10 . 2009-11-30 20:10        223440        ----a-w-        c:\programme\truecrypt.sys
2009-11-30 20:10 . 2009-11-30 20:10        222160        ----a-w-        c:\programme\truecrypt-x64.sys
2009-11-30 20:10 . 2009-11-30 20:10        1562064        ----a-w-        c:\programme\TrueCrypt Format.exe
2009-11-30 20:10 . 2009-11-30 20:10        1415632        ----a-w-        c:\programme\TrueCrypt.exe
2009-11-30 15:32 . 2009-11-30 15:32        --------        d-----w-        c:\programme\Pixologic
2009-11-28 15:44 . 2009-11-28 15:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\TrojanHunter
2009-11-27 00:16 . 2009-09-30 18:20        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Thinstall
2009-11-26 23:41 . 2009-11-26 23:41        --------        d-----w-        c:\programme\Papercut
2009-11-25 10:10 . 2009-07-06 20:22        --------        d-----w-        c:\programme\MSXML 4.0
2009-11-24 23:54 . 2009-12-11 23:57        1280480        ----a-w-        c:\windows.1\system32\aswBoot.exe
2009-11-24 23:51 . 2009-12-11 23:57        93424        ----a-w-        c:\windows.1\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2009-12-11 23:57        94160        ----a-w-        c:\windows.1\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2009-12-11 23:57        114768        ----a-w-        c:\windows.1\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-12-11 23:57        20560        ----a-w-        c:\windows.1\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-12-11 23:57        48560        ----a-w-        c:\windows.1\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-12-11 23:57        23120        ----a-w-        c:\windows.1\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-12-11 23:57        27408        ----a-w-        c:\windows.1\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-12-11 23:57        97480        ----a-w-        c:\windows.1\system32\AvastSS.scr
2009-11-22 18:29 . 2009-11-22 18:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Picturenaut
2009-11-18 06:44 . 2009-11-18 06:44        587        ----a-w-        c:\windows.1\uninstallstickies.bat
2009-11-18 06:44 . 2009-11-18 06:44        --------        d-----w-        c:\programme\stickies
2009-10-29 07:40 . 2009-06-12 16:02        916480        ------w-        c:\windows.1\system32\wininet.dll
2009-10-28 21:07 . 2009-10-28 21:06        91724839        ----a-w-        C:\Portable_Photoshop_CS3.exe
2009-10-26 07:24 . 2009-10-26 07:24        2149888        ----a-w-        c:\windows.1\system32\python26.dll
2009-10-21 05:38 . 2008-04-14 05:52        75776        ----a-w-        c:\windows.1\system32\strmfilt.dll
2009-10-21 05:38 . 2008-04-14 05:52        25088        ----a-w-        c:\windows.1\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-13 22:23        265728        ----a-w-        c:\windows.1\system32\drivers\http.sys
2006-05-03 09:06 . 2009-10-21 21:51        163328        --sh--r-        c:\windows.1\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-21 21:51        31232        --sh--r-        c:\windows.1\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-21 21:51        216064        --sh--r-        c:\windows.1\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2009-06-12 . B5B1080D35974C0E718D64280761BCD5 . 182912 . . [5.1.2600.5588] . . c:\windows.1\system32\drivers\ndis.sys

[-] 2009-03-23 . AE8CAD8F28DB13B515A68510A539B0B8 . 576512 . . [5.1.2600.5782] . . c:\windows.1\system32\drivers\ntfs.sys

[-] 2009-06-12 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows.1\system32\drivers\tcpip.sys

[-] 2009-06-12 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows.1\system32\rpcss.dll

[-] 2009-06-12 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows.1\system32\services.exe

[-] 2009-09-07 . 20F8788529557A0C219CE18C01995E99 . 514560 . . [5.1.2600.5788] . . c:\windows.1\system32\winlogon.exe

[-] 2009-06-12 15:58 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows.1\system32\es.dll

[-] 2009-06-12 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows.1\system32\kernel32.dll

[-] 2009-06-12 . 0544248EB86E02F99E0762C3A0854ABD . 343040 . . [7.0.2600.5701] . . c:\windows.1\system32\msvcrt.dll

[-] 2009-06-12 . 4AA50627B01C0E9C6B4C6BD3AF648F12 . 247296 . . [5.1.2600.5625] . . c:\windows.1\system32\mswsock.dll

[-] 2009-06-12 . 98731276ECE6966F4DA540FAB9512F6F . 408064 . . [5.1.2600.5741] . . c:\windows.1\system32\netlogon.dll

[-] 2009-06-12 . 67E38B4A549833E02D4D1617B5DBC318 . 14848 . . [5.1.2600.5689] . . c:\windows.1\system32\svchost.exe

[-] 2009-06-12 . 6C02B5D856674ECCCE64CE8BB8DCE8D9 . 249856 . . [5.1.2600.5654] . . c:\windows.1\system32\tapisrv.dll

[-] 2009-06-12 . D999CF40BD4EEB69FAB32069CA9D65B1 . 1036800 . . [6.00.2900.5634] . . c:\windows.1\explorer.exe

[-] 2009-06-12 . 462861CE6678C2886313B5E9F6EA0AD9 . 298496 . . [5.1.2600.5733] . . c:\windows.1\system32\termsrv.dll

[-] 2009-06-12 16:03 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows.1\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((  SnapShot@2010-01-13_17.26.53  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-14 15:11 . 2010-01-14 15:11        16384              c:\windows.1\Temp\Perflib_Perfdata_d4.dat
+ 2010-01-14 15:11 . 2010-01-14 15:11        16384              c:\windows.1\Temp\Perflib_Perfdata_568.dat
+ 2010-01-14 14:51 . 2010-01-14 14:51        16384              c:\windows.1\Temp\Perflib_Perfdata_54c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\tbEaz1.dll" [2009-11-06 2166296]

[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Eraser"="c:\programme\Eraser\eraser.exe" [2009-06-10 334224]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2009-12-11 289584]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows.1\system32\Adobe\Shockwave 11\SwHelper_1150596.exe" [2009-04-29 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-04 18702336]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"IgfxTray"="c:\windows.1\system32\igfxtray.exe" [2007-09-05 141848]
"HotKeysCmds"="c:\windows.1\system32\hkcmd.exe" [2007-09-05 166424]
"Persistence"="c:\windows.1\system32\igfxpers.exe" [2007-09-05 137752]
"THGuard"="c:\programme\TrojanHunter 5.2\THGuard.exe" [2009-08-27 1063072]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ooccctrl.exe"="c:\programme\OO Software\CleverCache\ooccctrl.exe" [2009-10-30 2876744]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-12 128512]
"IE8"="advpack.dll" [2009-06-12 128512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS.1^Startmenü^Programme^Autostart^Rainmeter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS.1\Startmenü\Programme\Autostart\Rainmeter.lnk
backup=c:\windows.1\pss\Rainmeter.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Administrator.MEIN-PC\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 Lbd;Lbd;c:\windows.1\system32\drivers\Lbd.sys [13.01.2010 15:38 64288]
R0 pavboot;pavboot;c:\windows.1\system32\drivers\pavboot.sys [02.01.2010 04:18 28552]
R0 sptd;sptd;c:\windows.1\system32\drivers\sptd.sys [20.09.2009 17:36 691696]
R1 aswSP;avast! Self Protection;c:\windows.1\system32\drivers\aswSP.sys [12.12.2009 00:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.1\system32\drivers\aswFsBlk.sys [12.12.2009 00:57 20560]
R2 O&O CleverCache;O&O CleverCache;c:\programme\OO Software\CleverCache\ooccag.exe [30.10.2009 22:19 701768]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [30.09.2009 10:15 116736]
S3 Ambfilt;Ambfilt;c:\windows.1\system32\drivers\Ambfilt.sys [07.09.2009 23:17 1684736]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);c:\windows.1\System32\svchost.exe -k WinRM [12.06.2009 16:59 14848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM        REG_MULTI_SZ          WINRM
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]

2010-01-14 c:\windows.1\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 14:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\lazarus@interclue.com\platform\WINNT_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator.MEIN-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\q5f4tziy.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 16:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spdm.sys >>UNKNOWN [0x8A6A9938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> 0x899d81b0
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> 0x899d81b0
NDIS: Intel 21143-basierter PCI-Fast Ethernetadapter (Standard) -> SendCompleteHandler -> NDIS.sys @ 0xb9cf9bd4
 PacketIndicateHandler -> NDIS.sys @ 0xb9d05b21
 SendHandler -> NDIS.sys @ 0xb9cf9d44
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1852)
c:\programme\Windows Media Player\wmpband.dll
c:\windows.1\system32\msi.dll
c:\windows.1\system32\webcheck.dll
c:\windows.1\system32\wpdshserviceobj.dll
c:\windows.1\system32\portabledevicetypes.dll
c:\windows.1\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows.1\RTHDCPL.EXE
c:\windows.1\system32\igfxsrvc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-14  16:19:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-14 15:19
ComboFix2.txt  2010-01-13 23:59
ComboFix3.txt  2010-01-13 17:51

Vor Suchlauf: 2.362.191.872 Bytes frei
Nach Suchlauf: 2.371.551.232 Bytes frei

- - End Of File - - 8B7641C2712C11B6BC83A0726C7E527E
hoffentlich wars das jetzt

cosinus 14.01.2010 20:35
Das Log ist aus meiner Sicht nun ok :)
Mach nun bitte noch noch einen Kontrollscan mit Malwarebytes aber vorher dieses Programm aktualisieren!

Deoss 14.01.2010 23:49
Done.

11 infizierte dateien wurden gefunden :S

Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3564
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.01.2010 23:26:11
mbam-log-2010-01-14 (23-26-11).txt

Scan-Methode: Vollständiger Scan (C:\|Z:\|)
Durchsuchte Objekte: 322221
Laufzeit: 52 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{6342AD21-52BF-4BEF-8907-F48E5D79E927}\RP244\A0230123.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6342AD21-52BF-4BEF-8907-F48E5D79E927}\RP246\A0231406.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6342AD21-52BF-4BEF-8907-F48E5D79E927}\RP246\A0231577.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6342AD21-52BF-4BEF-8907-F48E5D79E927}\RP246\A0233548.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6342AD21-52BF-4BEF-8907-F48E5D79E927}\RP246\A0233751.sys (Malware.Trace) -> Quarantined and deleted successfully.
Z:\Neuer Ordner (2)\EP_PCSX209.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.

cosinus 15.01.2010 08:50
Hm das sieht leider wieder weniger gut aus :(
Bitte mal einen Durchlauf mit GMER machen und Log posten.

Deoss 16.01.2010 16:22
Vorgestern wurde wohl auf mein ebay account zugegriffen, kann es sein dass ich mir nen stealer oder keylogger eingefangen habe?

Und bei GMER nur die festplatte mit windows scannen oder alle? Weil es über 12h dauert beide zu scannen

Deoss 17.01.2010 16:49
Ok habt jetzt mit GMER nur C gescannt.

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-17 15:40:57
Windows 5.1.2600 Service Pack 3
Running: j2ytnsid.exe; Driver: C:\DOKUME~1\ADMINI~1.MEI\LOKALE~1\Temp\kwldypog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwClose [0xA892C6B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwCreateKey [0xA892C574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwDeleteValueKey [0xA892CA52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwDuplicateObject [0xA892C14C]
SSDT            spsy.sys                                                                                                              ZwEnumerateKey [0xB9ECDDA4]
SSDT            spsy.sys                                                                                                              ZwEnumerateValueKey [0xB9ECE132]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwOpenKey [0xA892C64E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwOpenProcess [0xA892C08C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwOpenThread [0xA892C0F0]
SSDT            spsy.sys                                                                                                              ZwQueryKey [0xB9ECE20A]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwQueryValueKey [0xA892C76E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwRestoreKey [0xA892C72E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwSetValueKey [0xA892C8AE]

INT 0x62        ?                                                                                                                    8A688BF8
INT 0x63        ?                                                                                                                    8A41FF00
INT 0x63        ?                                                                                                                    8A41FF00
INT 0x82        ?                                                                                                                    8A688BF8
INT 0x83        ?                                                                                                                    8A68BBF8
INT 0x83        ?                                                                                                                    8A41FF00
INT 0x83        ?                                                                                                                    8A68BBF8
INT 0x94        ?                                                                                                                    8A41FF00
INT 0x94        ?                                                                                                                    8A41FF00
INT 0x94        ?                                                                                                                    8A41FF00
INT 0x94        ?                                                                                                                    8A41FF00
INT 0xA4        ?                                                                                                                    8A41FF00
INT 0xB1        ?                                                                                                                    8A68BBF8
INT 0xB1        ?                                                                                                                    8A68BBF8
INT 0xB4        ?                                                                                                                    8A688BF8
INT 0xB4        ?                                                                                                                    8A688BF8
INT 0xB4        ?                                                                                                                    8A41FF00
INT 0xB4        ?                                                                                                                    8A688BF8

Code            89AD4B0C                                                                                                              ZwRequestPort
Code            89AD4BAC                                                                                                              ZwRequestWaitReplyPort
Code            89AD4B0B                                                                                                              NtRequestPort
Code            89AD4BAB                                                                                                              NtRequestWaitReplyPort

---- Kernel code sections - GMER 1.0.15 ----

PAGE            ntkrnlpa.exe!NtRequestPort                                                                                            805A2A2E 5 Bytes  JMP 89AD4B10
PAGE            ntkrnlpa.exe!NtRequestWaitReplyPort                                                                                  805A2D5A 5 Bytes  JMP 89AD4BB0
?              spsy.sys                                                                                                              Das System kann die angegebene Datei nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                                B96B68EC 5 Bytes  JMP 8A41F4E0
.text          aijfs6hl.SYS                                                                                                          B9608386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          aijfs6hl.SYS                                                                                                          B96083AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          aijfs6hl.SYS                                                                                                          B96083C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          aijfs6hl.SYS                                                                                                          B96083C9 1 Byte  [2E]
.text          aijfs6hl.SYS                                                                                                          B96083C9 11 Bytes  [2E, 00, 00, 00, 5C, 02, 00, ...] {ADD CS:[EAX], AL; ADD [EDX+EAX+0x0], BL; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                                 
.text          alkotda9.SYS                                                                                                          B95CF386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          alkotda9.SYS                                                                                                          B95CF3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          alkotda9.SYS                                                                                                          B95CF3C4 3 Bytes  [00, 80, 02]
.text          alkotda9.SYS                                                                                                          B95CF3C9 1 Byte  [30]
.text          alkotda9.SYS                                                                                                          B95CF3C9 11 Bytes  [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                                 
.text          win32k.sys!EngAcquireSemaphore + 20E2                                                                                BF8082E1 5 Bytes  JMP 89AD44D0
.text          win32k.sys!EngFreeUserMem + 5BD2                                                                                      BF80EE68 5 Bytes  JMP 89AD4430
.text          win32k.sys!BRUSHOBJ_pvAllocRbrush + 322E                                                                              BF81E77A 5 Bytes  JMP 89AD49D0
.text          win32k.sys!EngSetLastError + 768F                                                                                    BF8286CB 5 Bytes  JMP 89AD4610
.text          win32k.sys!EngCreateBitmap + DDB2                                                                                    BF845CCB 5 Bytes  JMP 89AD46B0
.text          win32k.sys!EngMultiByteToWideChar + 2F32                                                                              BF852C47 5 Bytes  JMP 89AD4890
.text          win32k.sys!XLATEOBJ_iXlate + 3A50                                                                                    BF86368D 5 Bytes  JMP 89AD4570
.text          win32k.sys!FONTOBJ_pxoGetXform + CC3E                                                                                BF8C31D6 5 Bytes  JMP 89AD4750
.text          win32k.sys!PATHOBJ_vGetBounds + 74EE                                                                                  BF8F00FB 5 Bytes  JMP 89AD4930
.text          win32k.sys!EngCreateClip + 19C1                                                                                      BF91313E 5 Bytes  JMP 89AD4A70
.text          win32k.sys!EngCreateClip + 2597                                                                                      BF913D14 5 Bytes  JMP 89AD47F0

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!LoadResource                                      7C80A055 7 Bytes  JMP 28001E30 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!FindResourceExW                                    7C80AD28 7 Bytes  JMP 28001C70 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!FindResourceW                                      7C80BC6E 7 Bytes  JMP 28001BF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!SizeofResource                                    7C80BD09 7 Bytes  JMP 28001EF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!FindResourceA                                      7C80BF29 7 Bytes  JMP 28001D00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!LockResource                                      7C80CD37 5 Bytes  JMP 28001F60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!CreateEventA                                      7C830885 5 Bytes  JMP 28001850 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] kernel32.dll!FindResourceExA                                    7C835F78 7 Bytes  JMP 28001D90 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] ADVAPI32.dll!CryptDeriveKey                                    77DB9FFD 7 Bytes  JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] ADVAPI32.dll!CryptDecrypt                                      77DBA129 7 Bytes  JMP 28001060 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!GetWindowLongW                                      7E3688A6 7 Bytes  JMP 28006AF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!PeekMessageW                                        7E36929B 5 Bytes  JMP 280046B0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!SetWindowPlacement                                  7E36DE46 5 Bytes  JMP 28005E90 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!CreateDialogParamW                                  7E36EA3B 5 Bytes  JMP 28006110 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!LoadImageW                                          7E377B97 5 Bytes  JMP 28006760 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!CreateWindowExW                                      7E37D0A3 5 Bytes  JMP 28003CE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!SetWindowRgn                                        7E37E528 7 Bytes  JMP 28005FD0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!LoadIconW                                            7E37E8BC 5 Bytes  JMP 28006950 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!MessageBoxIndirectW                                  7E3B64D5 5 Bytes  JMP 28006300 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] USER32.dll!TrackPopupMenuEx                                    7E3BCF62 5 Bytes  JMP 28004F90 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] SHELL32.dll!Shell_NotifyIconW                                  7E6D391C 5 Bytes  JMP 28003430 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] ole32.dll!CoCreateInstance                                      774CF1C4 5 Bytes  JMP 28002610 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] ole32.dll!CoInitializeEx                                        774D148B 5 Bytes  JMP 28002270 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] ole32.dll!CoRegisterClassObject                                774E79E8 5 Bytes  JMP 28002370 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] WININET.dll!InternetReadFile                                    408C654B 5 Bytes  JMP 2800A0E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] WININET.dll!InternetCloseHandle                                408C9088 5 Bytes  JMP 2800A290 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] WININET.dll!HttpOpenRequestA                                    408CD508 5 Bytes  JMP 28009F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text          C:\Programme\Windows Live\Messenger\msnmsgr.exe[2300] WININET.dll!HttpSendRequestA                                    408DEE89 5 Bytes  JMP 2800A1C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                    [B9EB6042] spsy.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                            [B9EB613E] spsy.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B9EB60C0] spsy.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B9EB6800] spsy.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B9EB66D6] spsy.sys
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                    [B9EC5B90] spsy.sys
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!KfAcquireSpinLock]                                                  CCCCCCC3
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!READ_PORT_UCHAR]                                                    CCCCCCCC
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!KeGetCurrentIrql]                                                  CCCCCCCC
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!KfRaiseIrql]                                                        CCCCCCCC
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!KfLowerIrql]                                                        8BEC8B55
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!HalGetInterruptVector]                                              00C73445
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!HalTranslateBusAddress]                                            00000000
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!KeStallExecutionProcessor]                                          830C458B
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!KfReleaseSpinLock]                                                  C0840CEC
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                            053C0D74
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!READ_PORT_USHORT]                                                  57B80974
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          8B000000
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  56C35DE5
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[WMILIB.SYS!WmiSystemControl]                                                8D51FC4D
IAT            \SystemRoot\System32\Drivers\aijfs6hl.SYS[WMILIB.SYS!WmiCompleteRequest]                                              8D52FD55
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!KfAcquireSpinLock]                                                  18C4830E
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!READ_PORT_UCHAR]                                                    1C959E88
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!KeGetCurrentIrql]                                                  9E880000
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!KfRaiseIrql]                                                        00001CB1
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!KfLowerIrql]                                                        0E798366
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!HalGetInterruptVector]                                              74AAB000
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!HalTranslateBusAddress]                                            8986C636
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!KeStallExecutionProcessor]                                          1A00001C
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!KfReleaseSpinLock]                                                  1C8B86C6
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                            C6020000
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!READ_PORT_USHORT]                                                  001C9686
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          86C60200
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  00001CB2
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[WMILIB.SYS!WmiSystemControl]                                                8800001C
IAT            \SystemRoot\System32\Drivers\alkotda9.SYS[WMILIB.SYS!WmiCompleteRequest]                                              001CB99E

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\Explorer.EXE [KERNEL32.dll!GetProcAddress]                              [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                    [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                        [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                        [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                    [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                    [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\Explorer.EXE[640] @ C:\WINDOWS.1\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                      [5CF077BD] C:\WINDOWS.1\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINDOWS.1\system32\services.exe[796] @ C:\WINDOWS.1\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]      00380002
IAT            C:\WINDOWS.1\system32\services.exe[796] @ C:\WINDOWS.1\system32\services.exe [KERNEL32.dll!CreateProcessW]            00380000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                8A6F71F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\sptd \Device\948330802                                                                                        spsy.sys
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                      8A41A1F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            8A6F91F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              8A6F91F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                  8A6F91F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                8A6F91F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                      8A41A1F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                      8A41A1F8
Device          \Driver\usbehci \Device\USBPDO-3                                                                                      8A3F8500
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                      8A41A1F8
Device          \Driver\PCI_PNP7052 \Device\00000048                                                                                  spsy.sys
Device          \Driver\sptd \Device\948487052                                                                                        spsy.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBPDO-5                                                                                      8A41A1F8
Device          \Driver\PCI_PNP7052 \Device\00000049                                                                                  spsy.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{F2286023-EF5F-42A9-865F-7CAD03FDC1AC}                                              89DCF500
Device          \Driver\dmio \Device\HarddiskDmVolumes\PhysicalDmVolumes\RawVolume1                                                  8A6F91F8
Device          \Driver\dmio \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1                                                8A6F91F8
Device          \Driver\usbuhci \Device\USBPDO-6                                                                                      8A41A1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                8A6891F8
Device          \Driver\usbehci \Device\USBPDO-7                                                                                      8A3F8500
Device          \Driver\Cdrom \Device\CdRom0                                                                                          8A41E500
Device          \Driver\Cdrom \Device\CdRom1                                                                                          8A41E500
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                    [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                    [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                    [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                    [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3                                                                          [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-12                                                                          [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\Cdrom \Device\CdRom2                                                                                          8A41E500
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              89DCF500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                      89DCF500

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                      8A41A1F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                      8A41A1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    89DC51F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                      8A41A1F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          89DC51F8
Device          \Driver\usbehci \Device\USBFDO-3                                                                                      8A3F8500
Device          \Driver\usbuhci \Device\USBFDO-4                                                                                      8A41A1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                      8A6891F8
Device          \Driver\usbuhci \Device\USBFDO-5                                                                                      8A41A1F8
Device          \Driver\usbuhci \Device\USBFDO-6                                                                                      8A41A1F8
Device          \Driver\usbehci \Device\USBFDO-7                                                                                      8A3F8500
Device          \Driver\aijfs6hl \Device\Scsi\aijfs6hl1Port6Path0Target0Lun0                                                          8A3EA500
Device          \Driver\Jraid \Device\Scsi\Jraid1Port4Path0Target0Lun0                                                                8A6F81F8
Device          \Driver\Jraid \Device\Scsi\Jraid1                                                                                    8A6F81F8
Device          \Driver\alkotda9 \Device\Scsi\alkotda91Port5Path0Target0Lun0                                                          8A3B0500
Device          \Driver\alkotda9 \Device\Scsi\alkotda91                                                                              8A3B0500
Device          \Driver\aijfs6hl \Device\Scsi\aijfs6hl1                                                                              8A3EA500
Device          \FileSystem\Cdfs \Cdfs                                                                                                89D9F500

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                    771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                    285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                    2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0xBB 0x9D 0x6A 0x86 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                  C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                      0x0E 0x8D 0x6D 0x1B ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xBB 0x34 0xBA 0xD3 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                0xF1 0xBA 0xCB 0xFA ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0x9A 0x32 0xF9 0x4D ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                       
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                  0x8C 0x6A 0x48 0xAF ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0xBB 0x9D 0x6A 0x86 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                          0x0E 0x8D 0x6D 0x1B ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xBB 0x34 0xBA 0xD3 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      1
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xF1 0xBA 0xCB 0xFA ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x9A 0x32 0xF9 0x4D ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x8C 0x6A 0x48 0xAF ...
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                               
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OOCC7.00.00.01PROSTATION                                        AD34C40FB76849B8B69018E05BCCEDA67BBD444F79D99F5F554DB63D8286A3216CB5B6BF50591BE1442E5ED69E0E1C0D179A52A2C9451A468182D83967C71DC2811EB57E275E49AD40F1DE998AA9BB9E3175796D6A1FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DFEBC9E127BECC74CA9C6AECB7A5D1407AC0F1DEA24BDCF3A266C08003E37143EF0A3CF4E1933C623ECDE93A3B8E13F37A12468C356976E519450F30BE4CF633F711CD93160BC9C4A052FF78D6DE0B1C8024DF1F44CC3C2C01C070EA496ABBE1A6F82E23952EBF9E23BD3D23ECEC8112166DFD7425BDD1C32DB5422873F2634C12EAF82BC9180C94A98D528C35655C5A63CB62D9070448136C38570155F5E088F447F47325378AB40F6C074500C896C2344ADF96D8897AB3F9CE62ECE0A37AD3E9BCF3239DF98F16B8725A5BA8E2AD54513A8B786B93F09267D4C025EE8D853707405B690966A2654CC991BFA903F079F120B56ADA9653BA5D50C8890B7ACD4A9DF07BF9DE63783E82035AD31589536A97C40385B93F696DCE602D1524763C5524642296AD612787B2C14A71DC040D1BBE435352AC726254F460BE1BA7BEEEC36602645A2004CA83FF1D7C3A63793FA16AEDB1858A86AA4E35E0B3000CB87C486BFA4D7970F016BCFC2A

---- EOF - GMER 1.0.15 ----

cosinus 17.01.2010 21:04
Angesichts der Backdoor-Funde solltest Du überlegen, on eine Neuinstallation nicht wesentlich sinnvoller wäre....

Z:\Neuer Ordner (2)\EP_PCSX209.exe (Trojan.Backdoor)

Was ist das für eine Datei?

Deoss 18.01.2010 01:06
Zitat:
Zitat von cosinus (Beitrag 496469)
Angesichts der Backdoor-Funde solltest Du überlegen, on eine Neuinstallation nicht wesentlich sinnvoller wäre....

Z:\Neuer Ordner (2)\EP_PCSX209.exe (Trojan.Backdoor)

Was ist das für eine Datei?

Keine Ahnung, ich kann die Datei auch so nicht finden wenn ich in den Ordner schaue.

cosinus 18.01.2010 08:23
Wie gesagt, wegen der Backdoor-Funde solltest Du über eine Neuinstallation nachdenken...
Wurde Dein Ebay-Passwort schon geändert von einer sauberen Maschine?

Deoss 18.01.2010 17:33
Ne das passwort hab ich auf meinem PC vor dem GMER scan geändert. :S
Also ist nun ein Backdoor drauf, oder WAR ein backdoor drauf und es ist ungewiss ob er immernoch drauf ist?

cosinus 18.01.2010 19:43
Es waren Dateien drauf, die von MBAM als Backdoors eingestuft wurden. Ob man dank der aktiven Hintertür gezielt wesentlich besser versteckte Backdoors installiert hat ist zwar unwahrscheinlich aber möglich - deswegen sagte ich, dass Du die Kiste besser neu installieren solltest.

Erfolgte auf Dein Ebaykonto oder auf ein anderes Konto zwischenzeitlich eigentlich wieder Fremdzugriff?

Deoss 19.01.2010 00:31
Achso :) Klingt vernünftig, ich überleg es mir.

Ne nicht mehr. Falls ich etwas merke, werde ich das System sofort neu aufsetzen.

Danke für die Hilfe, weiß jetzt nun wie gegen Viren vorzugehen ist :D

cosinus 19.01.2010 10:24
*nachhakenmuss*

Zitat:
Zitat von cosinus
Erfolgte auf Dein Ebaykonto oder auf ein anderes Konto zwischenzeitlich eigentlich wieder Fremdzugriff?

Deoss 19.01.2010 17:12
Ne nicht mehr. Falls ich etwas merke, werde ich das System sofort neu aufsetzen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:20 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130