Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze (https://www.trojaner-board.de/81829-mal-eingefangen-rundll32-exe-virus-malware-programmabstuerze.html)

WinDown 17.01.2010 18:25
Mal wieder was eingefangen: rundll32.exe Virus/Malware | Programmabstürze
 
Hallo liebe User,

ich hab' mir mal wieder was eingefangen -.- Vor ca. 1 Stunde hat mich meine Firewall plötzlich gefragt, ob die explorer.exe eine Verbindung zu irgendeiner obskuren IP-Adresse aufbauen darf - hab' Nein geklickt, wusste aber schon, dass da irgendwas faul ist. Mit HijackThis habe ich den Übeltäter auch sofort gefunden: Eine rundll32.exe im Windows-Rootverzeichnis. Wie üblich, löschen bringt nichts, sie erstellt sich dann einfach neu. Gleichzeitig klinkt sie sich in der Registry ein.

CCleaner hab' ich druchlaufen lassen.

HijackThis Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:40, on 17.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA Windows XP Styler\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\Programme\Avast\aswUpdSv.exe
C:\Programme\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programme\Geburtstagsmanager\burz.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avast\ashMaiSv.exe
C:\Programme\Avast\ashWebSv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Total Commander\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [Geburtstagsmanager] C:\Programme\Geburtstagsmanager\burz.exe /silent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255825742484
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4425679-530A-406E-9423-F6FA72DD5A7D}: NameServer = 195.50.140.248 195.50.140.114
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service:  Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe

--
End of file - 5110 bytes
Logfile von RSIT:

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2010-01-17 18:33:08
Microsoft Windows XP Professional Service Pack 2
System drive C: has 19 GB (62%) free of 30 GB
Total RAM: 2047 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:10, on 17.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA Windows XP Styler\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\Programme\Avast\aswUpdSv.exe
C:\Programme\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programme\Geburtstagsmanager\burz.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avast\ashMaiSv.exe
C:\Programme\Avast\ashWebSv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Total Commander\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Xfire\xfire.exe
M:\Programme, Maps & Tools\Programme & Tools\RSIT.exe
C:\Programme\HijackThis\***.exe

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [Geburtstagsmanager] C:\Programme\Geburtstagsmanager\burz.exe /silent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\rundll32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255825742484
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4425679-530A-406E-9423-F6FA72DD5A7D}: NameServer = 195.50.140.248 195.50.140.114
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service:  Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe

--
End of file - 5263 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-11-18 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-11-18 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-09-27 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-09-27 13918208]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAudPropShortcut.exe [2004-03-17 61952]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2004-09-24 2559488]
"avast!"=C:\PROGRA~1\Avast\ashDisp.exe [2009-11-25 81000]
"SmcService"=C:\PROGRA~1\SYGATE~1\smc.exe [2004-02-24 2372760]
"Geburtstagsmanager"=C:\Programme\Geburtstagsmanager\burz.exe [2005-05-10 2236928]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-11-18 149280]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Anti-Malware\mbamgui.exe [2010-01-07 429392]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\WINDOWS\rundll32.exe [2006-06-17 507392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\WINDOWS\rundll32.exe [2006-06-17 507392]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQ.exe"="C:\Programme\ICQLite\ICQ.exe:*:Enabled:ICQ Lite"
"D:\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"D:\Company of Heroes\RelicDownloader\RelicDownloader.exe"="D:\Company of Heroes\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\Steam\SteamApps\common\zero gear\ZeroGear.bat"="D:\Steam\SteamApps\common\zero gear\ZeroGear.bat:*:Enabled:Zero Gear"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d484486-bb83-11de-a4ad-806d6172696f}]
shell\adobe\command - G:\goodies\ar405deu.exe
shell\AutoRun\command - G:\aocsetup.exe /autorun
shell\log\command - G:\goodies\machine\machine.exe -l
shell\machine\command - G:\goodies\machine\machine.exe
shell\setup\command - G:\aocsetup.exe /autorun
shell\zone\command - G:\goodies\mszone\zonea660.exe


======List of files/folders created in the last 1 months======

2010-01-17 18:33:08 ----D---- C:\rsit
2010-01-17 18:03:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2010-01-17 18:03:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-17 18:03:52 ----D---- C:\Programme\Anti-Malware
2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll.manifest
2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll
2010-01-16 23:20:59 ----D---- C:\Programme\ffdshow
2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-01-12 20:02:24 ----A---- C:\WINDOWS\IsUn0407.exe
2010-01-10 20:11:25 ----A---- C:\WINDOWS\system32\ptpusb.dll
2010-01-10 20:11:24 ----A---- C:\WINDOWS\system32\ptpusd.dll
2009-12-30 23:34:12 ----D---- C:\Programme\Hamachi
2009-12-24 18:45:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2009-12-24 18:45:23 ----D---- C:\Programme\Gemeinsame Dateien\Logitech
2009-12-24 18:45:22 ----D---- C:\Programme\Logitech
2009-12-24 18:40:25 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-12-23 15:32:01 ----D---- C:\Programme\OpenAL
2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\wrap_oal.dll
2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\OpenAL32.dll
2009-12-23 00:59:32 ----A---- C:\WINDOWS\system32\xfcodec.dll

======List of files/folders modified in the last 1 months======

2010-01-17 18:33:09 ----D---- C:\Programme\HijackThis
2010-01-17 18:28:13 ----D---- C:\WINDOWS\Temp
2010-01-17 18:06:28 ----D---- C:\WINDOWS\Prefetch
2010-01-17 18:03:54 ----D---- C:\WINDOWS\system32\drivers
2010-01-17 18:03:52 ----RD---- C:\Programme
2010-01-17 17:49:55 ----A---- C:\WINDOWS\wincmd.ini
2010-01-17 17:41:24 ----D---- C:\Programme\Mozilla Firefox
2010-01-17 16:27:09 ----D---- C:\Programme\RSD
2010-01-17 01:16:28 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-01-17 01:04:03 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2010-01-16 23:25:28 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-16 23:21:01 ----D---- C:\WINDOWS\system32
2010-01-16 23:15:01 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-16 23:11:37 ----D---- C:\Programme\XP Codec Pack
2010-01-15 18:02:52 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2010-01-14 21:42:19 ----SD---- C:\Programme\Xfire
2010-01-13 08:27:44 ----D---- C:\Programme\Sygate Personal Firewall
2010-01-12 21:27:37 ----D---- C:\Programme\Paint Shop Pro 7
2010-01-12 20:36:39 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-12 20:03:34 ----D---- C:\Programme\Adobe
2010-01-11 20:28:53 ----D---- C:\Programme\dBpowerAMP
2010-01-09 23:10:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2009-12-30 23:29:20 ----SHD---- C:\WINDOWS\Installer
2009-12-29 20:23:07 ----D---- C:\Programme\ICQLite
2009-12-24 19:07:52 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-12-24 18:40:31 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-12-24 18:40:01 ----HD---- C:\WINDOWS\inf
2009-12-23 15:32:26 ----D---- C:\WINDOWS\system32\DirectX
2009-12-23 15:32:07 ----D---- C:\WINDOWS\WinSxS

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2006-02-28 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 StyleXPHelper;StyleXPHelper; \??\C:\Programme\G DATA Windows XP Styler\StyleXPHelper.exe []
R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2002-11-29 16320]
R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2002-11-28 15360]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-12-30 25280]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-03-17 135168]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2004-09-24 2276672]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-09-27 7655872]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2004-04-01 10368]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2006-02-28 20480]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2004-10-27 223104]
S3 acbp5ips;acbp5ips; C:\WINDOWS\system32\drivers\acbp5ips.sys []
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-08-24 38656]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-08-24 90112]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Avast\aswUpdSv.exe [2009-11-25 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Avast\ashServ.exe [2009-11-25 138680]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-11-18 153376]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-10-22 75064]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-12-24 215104]
R2 SmcService; Sygate Personal Firewall Pro; C:\Programme\Sygate Personal Firewall\smc.exe [2004-02-24 2372760]
R2 StyleXPService;StyleXPService; C:\Programme\G DATA Windows XP Styler\StyleXPService.exe [2004-08-24 307200]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Avast\ashMaiSv.exe [2009-11-25 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Avast\ashWebSv.exe [2009-11-25 352920]
R3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-09-27 172100]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-06-29 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
Mit HijackThis fixen bringt leider auch nichts, wird auch sofort wieder neu erstellt.

Nun war ich bereits auf Jottis Malwarescan, interessanterweise kann ich dort, nachdem ich auf "Durchsuchen" geklickt habe, den Windows-Ordner gar nicht erst anwählen, trotz kompletter Ansicht (versteckte Dateien anzeigen usw.). Habe mir auch das hier empfohlene Malwareerkennungsprogramm heruntergeladen (Malwarebyte's Anti-Malware), dieses stürzt allerdings beim Beginn des Scans ab.

Auch viele andere Programme stürzen jetzt einfach ab, z.B. der Registrierungseditor. Neugestartet habe ich noch nicht, aus Angst das der PC dann nicht mehr bootet.

Ich hab' zwar umfangreich gegoogelt, aber zu diesem rundll32-Virus in Verbindung mit den Registry-Einträgen nichts gefunden bzw. nur die Information, dass auf Win98/ME sich dort die Datei befindet. Auch hier im Forum konnte ich keinen vergleichbaren Fall ausfindig machen.

Ich bin für jede Hilfe dankbar!

Edit: Okay, konnte die Datei jetzt doch noch bei Virustotal.com prüfen (hatte ein Häkchen in den Ordneroptionen vergessen. Kein Virenscanner was gefunden bis auf Antiy-AVL: Trojan/Win32.Patched.gen - dasselbe auch in der winlogon.exe, die ich nach lesen eines anderen Threads hier geprüft habe. :(

Kos 17.01.2010 23:38
Hi

Versuche bitte zunächst, GMER nach Anleitung auszuführen.

WinDown 18.01.2010 12:10
Okay, hier ist der Log:

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-18 12:03:19
Windows 5.1.2600 Service Pack 2
Running: bxc9vhwj.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uwloipob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwClose [0xB4BB96B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwCreateKey [0xB4BB9574]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                  ZwCreateThread [0xF77F0C40]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwDeleteValueKey [0xB4BB9A52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwDuplicateObject [0xB4BB914C]
SSDT            spqu.sys                                                                                                            ZwEnumerateKey [0xF74F4CA4]
SSDT            spqu.sys                                                                                                            ZwEnumerateValueKey [0xF74F5032]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                  ZwMapViewOfSection [0xF77F08D0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwOpenKey [0xB4BB964E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwOpenProcess [0xB4BB908C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwOpenThread [0xB4BB90F0]
SSDT            spqu.sys                                                                                                            ZwQueryKey [0xF74F510A]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwQueryValueKey [0xB4BB976E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwRestoreKey [0xB4BB972E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                              ZwSetValueKey [0xB4BB98AE]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                  ZwShutdownSystem [0xF77F0E70]
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                  ZwTerminateProcess [0xF77F0E00]

INT 0x62        ?                                                                                                                  89C12BF8
INT 0x63        ?                                                                                                                  89C12BF8
INT 0x63        ?                                                                                                                  89C12BF8
INT 0x63        ?                                                                                                                  898FBBF8
INT 0x63        ?                                                                                                                  89C12BF8
INT 0x82        ?                                                                                                                  89C12BF8
INT 0x83        ?                                                                                                                  898FBBF8
INT 0xA4        ?                                                                                                                  898FBBF8
INT 0xB4        ?                                                                                                                  898FBBF8

---- Kernel code sections - GMER 1.0.15 ----

?              spqu.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                            section is writeable [0xB7472360, 0x3E57A5, 0xE8000020]
.text          USBPORT.SYS!DllUnload                                                                                              B73F862C 5 Bytes  JMP 898FB1D8
.text          a1apspch.SYS                                                                                                        B732D386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          a1apspch.SYS                                                                                                        B732D3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          a1apspch.SYS                                                                                                        B732D3C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          a1apspch.SYS                                                                                                        B732D3C9 1 Byte  [30]
.text          a1apspch.SYS                                                                                                        B732D3C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                               
.text          tcpip.sys!IPTransmit + 10BC                                                                                        B4D2ACFA 6 Bytes  CALL F7B11200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPTransmit + 263D                                                                                        B4D2C27B 6 Bytes  CALL F7B11200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!ARPRcv + 521E                                                                                            B4D314BE 6 Bytes  CALL F7B11200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          wanarp.sys                                                                                                          B72FA3FD 7 Bytes  CALL F7B11350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                  89BA22D8
IAT            pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                [F7507C4C] spqu.sys
IAT            pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                  [F7507CA0] spqu.sys
IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F74D7042] spqu.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F74D713E] spqu.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                [F74D70C0] spqu.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                        [F74D7800] spqu.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                [F74D76D6] spqu.sys
IAT            \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                898FB2D8
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlInitUnicodeString]                                        00021083
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!swprintf]                                                    01B05E00
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeSetEvent]                                                  5DE58B5B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoCreateSymbolicLink]                                        7E8366C3
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoGetConfigurationInformation]                              0F740028
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDeleteSymbolicLink]                                        89320C8D
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmFreeMappingAddress]                                        0002288B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeErrorLogEntry]                                        46B70F00
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDisconnectInterrupt]                                      66D00328
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnmapIoSpace]                                              002A7E83
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ObReferenceObjectByPointer]                                  0C8D1574
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IofCompleteRequest]                                          248B8932
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlCompareUnicodeString]                                    0F000002
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IofCallDriver]                                              832A46B7
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmAllocateMappingAddress]                                    E08303C0
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry]                                    66D003FC
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoConnectInterrupt]                                          002C7E83
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDetachDevice]                                              0C8D1E74
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeWaitForSingleObject]                                      208B8932
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeEvent]                                          8A000002
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString]                                83880846
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlInitAnsiString]                                          000001C0
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest]                              2C4EB70F
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoQueueWorkItem]                                            8303C183
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmMapIoSpace]                                                D103FCE1
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations]                                2E7E8366
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoReportDetectedDevice]                                      8D1C7400
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoReportResourceForDetection]                                83893204
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize]                                00000218
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!NlsMbCodePageTag]                                            2E4EB70F
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoRequestPowerIrp]                                          021C8B89
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue]                                    B70F0000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection]                            E0C12E46
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!sprintf]                                                    03D00304
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache]                                0CB389F2
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ObfDereferenceObject]                                        80000002
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference]                                0975013E
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInvalidateDeviceState]                                    1B42E853
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwClose]                                                    C4830000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ObReferenceObjectByHandle]                                  B05E5F04
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwCreateDirectoryObject]                                    E58B5B01
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest]                                CCCCC35D
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoStartNextPowerIrp]                                        CCCCCCCC
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoCallDriver]                                                53EC8B55
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoCreateDevice]                                              08758B56
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension]                            0214BE83
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlQueryRegistryValues]                                      57000000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwOpenKey]                                                  45C60674
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlFreeUnicodeString]                                        1EEB010B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoStartTimer]                                                020C868B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeTimer]                                          C0850000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInitializeTimer]                                          808A1074
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeDpc]                                            00000804
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInitializeSpinLock]                                        A03CF024
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoInitializeIrp]                                            0B45950F
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwCreateKey]                                                45C604EB
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString]                              458A000B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString]                                  88C0840B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ZwSetValueKey]                                              840F0946
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeInsertQueueDpc]                                            000000C1
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel]                                14B30E8B
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoStartPacket]                                              1C8286C6
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel]                              88010000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest]                              001C859E
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeMdl]                                                  A19E8800
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnlockPages]                                              C600001C
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoWriteErrorLogEntry]                                        001C8686
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue]                                    86C60100
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping]                        00001CA2
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnmapReservedMapping]                                      70518B01
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeSynchronizeExecution]                                      8D52006A
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoStartNextPacket]                                          001C8886
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeBugCheckEx]                                                55E85000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeRemoveDeviceQueue]                                        8B000023
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeSetTimer]                                                  70518B0E
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeCancelTimer]                                              8D52016A
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_allmul]                                                    001CA486
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmProbeAndLockPages]                                        41E85000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_except_handler3]                                            8B000023
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!PoSetPowerState]                                            18C4830E
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey]                                    1C8D9E88
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlWriteRegistryValue]                                      9E880000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_aulldiv]                                                    00001CA9
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!strstr]                                                      0E798366
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!_strupr]                                                    74AAB000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeQuerySystemTime]                                          8186C636
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoWMIRegistrationControl]                                    1A00001C
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!KeTickCount]                                                1C8386C6
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                C6020000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoDeleteDevice]                                              001C8E86
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ExAllocatePoolWithTag]                                      86C60200
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateWorkItem]                                          00001CAA
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateIrp]                                              959E8802
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoAllocateMdl]                                              8800001C
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool]                                  001CB19E
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmLockPagableDataSection]                                    96868800
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoGetDriverObjectExtension]                                  8800001C
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmUnlockPagableImageSection]                                001CB286
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!ExFreePoolWithTag]                                          C61AEB00
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeIrp]                                                  001C8186
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!IoFreeWorkItem]                                              86C61200
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!InitSafeBootMode]                                            00001C83
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlCompareMemory]                                            8E868801
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!RtlCopyUnicodeString]                                        8800001C
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!memmove]                                                    001CAA86
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[ntoskrnl.exe!MmHighestUserAddress]                                        80968B00
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfAcquireSpinLock]                                                0C8D1C46
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!READ_PORT_UCHAR]                                                  B08B8932
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KeGetCurrentIrql]                                                89000001
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfRaiseIrql]                                                      0001BC83
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfLowerIrql]                                                      24468B00
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!HalGetInterruptVector]                                            89820C8D
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!HalTranslateBusAddress]                                          D18BF84D
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KeStallExecutionProcessor]                                        860F1639
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!KfReleaseSpinLock]                                                000000BD
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          0208B389
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!READ_PORT_USHORT]                                                83660000
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                        7400067E
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                89D60320
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[WMILIB.SYS!WmiSystemControl]                                              8D168B00
IAT            \SystemRoot\System32\Drivers\a1apspch.SYS[WMILIB.SYS!WmiCompleteRequest]                                            F0003284
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                                [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                            [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                  [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                          [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F7B11B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F7B11CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                [F7B11DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F7B11D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]        00380002
IAT            C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]              00380000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              89C111F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                              aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \Driver\Tcpip \Device\Ip                                                                                            wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\sptd \Device\2978926832                                                                                    spqu.sys
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    898FA1F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                          89BA01F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                            89BA01F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                89BA01F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                              89BA01F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    898FA1F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    898FA1F8
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                    898FA1F8
Device          \Driver\usbehci \Device\USBPDO-4                                                                                    898CD1F8
Device          \Driver\Tcpip \Device\Tcp                                                                                          wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                          aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\PCI_PNP6832 \Device\00000049                                                                                spqu.sys
Device          \Driver\PCI_PNP6832 \Device\00000049                                                                                spqu.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              89C131F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              89C131F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        8988D1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{064E9B7B-7588-4DA6-A758-1F46E7B70D08}                                            8955B500
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                              89C131F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                        8988D1F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  89C121F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                        89C121F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-22                                                                        89C121F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  89C121F8
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                  89C121F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                        89C121F8
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                  89C121F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-17                                                                        89C121F8
Device          \Driver\Cdrom \Device\CdRom2                                                                                        8988D1F8
Device          \Driver\Cdrom \Device\CdRom3                                                                                        8988D1F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                            8955B500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    8955B500
Device          \Driver\Tcpip \Device\Udp                                                                                          wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                          aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\RawIp                                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                        aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    898FA1F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    898FA1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                  8976C1F8
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                  wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    898FA1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{E6EA086F-C3B1-4D70-B9E0-FEDADF5877CD}                                            8955B500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                        8976C1F8
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                    898FA1F8
Device          \Driver\usbehci \Device\USBFDO-4                                                                                    898CD1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    89C131F8
Device          \Driver\a1apspch \Device\Scsi\a1apspch1Port4Path0Target1Lun0                                                        897D91F8
Device          \Driver\a1apspch \Device\Scsi\a1apspch1Port4Path0Target0Lun0                                                        897D91F8
Device          \Driver\a1apspch \Device\Scsi\a1apspch1                                                                            897D91F8
Device          \FileSystem\Cdfs \Cdfs                                                                                              89740500

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xF8 0xBC 0x87 0xBC ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                    0x61 0x83 0x44 0x2A ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xB9 0x3E 0xAD 0x0C ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                0x8B 0xBB 0x53 0x3F ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                    C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                    0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xF8 0xBC 0x87 0xBC ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                        0x61 0x83 0x44 0x2A ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xB9 0x3E 0xAD 0x0C ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                    0x8B 0xBB 0x53 0x3F ...

---- EOF - GMER 1.0.15 ----
Den PC kann ich sogar noch normal starten, scheint alles sauber zu laufen, aber Programme laufen halt weiterhin nur langsam oder stürzen ab. Gerade eben konnte ich nicht herunterfahren; hat sich aufgehangen nach Klicken des "Ausschalten"-Buttons.

Edit: Ich hab's geschafft, Malwarebyte's Anti-Malware auszuführen, ohne das es abstürzt - hier auch das Log:

Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3583
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18.01.2010 13:01:09
mbam-log-2010-01-18 (13-01-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 105262
Laufzeit: 3 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{dcr8702m-381q-3542-ve31-d4438aumd37t} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll32.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
Hab' auf "Auswahl entfernen" geklickt und starte jetzt neu...

Kos 18.01.2010 13:37
Ok, wie läuft der Rechner jetzt? Sollte es etwas besser geworden sein, versuche einen vollständigen Suchlauf mit Malwarebytes.

Ansonsten:

* Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop.

* Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken.
* Starte den Computer neu in den abgesicherten Modus (F8 während des Bootvorgangs drücken).
* Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Geduld, das kann ca. 20 Minuten dauern.
* Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst Du darum gebeten, einen Taste zu drücken, damit Dein Rechner neu starten kann.
* Drücke auf eine beliebige Taste.
* Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen.
* Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden.
* Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread.

WinDown 18.01.2010 14:15
Soweit ich das beurteilen kann hat Anti-Malware bereits alles entfernen können :daumenhoc

Die rundll32.exe ist weg, Registryeinträge auch, HijackThis findet nichts mehr. Programme laufen wieder wie gehabt! Danke dennoch für deine Mühe :)

Kos 18.01.2010 14:44
Öhm, das hat im Prinzip nicht viel zu sagen, wir sollten deinen Rechner auf jeden Fall durchcheken. Nur, weil ein Symptom weg ist, muss die Krankheit noch lange nicht besiegt sein ;)

WinDown 18.01.2010 22:10
Nun gut, dann lasse ich noch einen kompletten Anti-Malware-Scan durchlaufen, wie du gesagt hast. Ergebnis:

Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3583
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18.01.2010 22:09:00
mbam-log-2010-01-18 (22-08-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 151607
Laufzeit: 23 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Würdest du mir jetzt noch empfehlen den SDFix sicherheitshalber durchlaufen zu lassen?

Kos 18.01.2010 22:40
Zitat:
Würdest du mir jetzt noch empfehlen den SDFix sicherheitshalber durchlaufen zu lassen?
Nein, aber Ccleaner gefolgt von einem frischen RSIT wären ganz nützlich. Kontrolle muss sein, kein Scanner ist perfekt. :D

WinDown 19.01.2010 13:52
Das stimmt wohl. Hier:

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2010-01-19 13:47:23
Microsoft Windows XP Professional Service Pack 2
System drive C: has 19 GB (62%) free of 30 GB
Total RAM: 2047 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:30, on 19.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA Windows XP Styler\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\Programme\Avast\aswUpdSv.exe
C:\Programme\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avast\ashMaiSv.exe
C:\Programme\Avast\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programme\Geburtstagsmanager\burz.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Total Commander\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\icq.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\JetAudio\JetAudio.exe
M:\Programme, Maps & Tools\Programme & Tools\RSIT.exe
C:\Programme\HijackThis\***.exe

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [Geburtstagsmanager] C:\Programme\Geburtstagsmanager\burz.exe /silent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1255825742484
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4425679-530A-406E-9423-F6FA72DD5A7D}: NameServer = 195.50.140.248 195.50.140.114
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service:  Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe

--
End of file - 5055 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-09-27 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-09-27 13918208]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAudPropShortcut.exe [2004-03-17 61952]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2004-09-24 2559488]
"avast!"=C:\PROGRA~1\Avast\ashDisp.exe [2009-11-25 81000]
"SmcService"=C:\PROGRA~1\SYGATE~1\smc.exe [2004-02-24 2372760]
"Geburtstagsmanager"=C:\Programme\Geburtstagsmanager\burz.exe [2005-05-10 2236928]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQ.exe"="C:\Programme\ICQLite\ICQ.exe:*:Enabled:ICQ Lite"
"D:\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"D:\Company of Heroes\RelicDownloader\RelicDownloader.exe"="D:\Company of Heroes\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\Steam\SteamApps\common\zero gear\ZeroGear.bat"="D:\Steam\SteamApps\common\zero gear\ZeroGear.bat:*:Enabled:Zero Gear"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d484486-bb83-11de-a4ad-806d6172696f}]
shell\adobe\command - G:\goodies\ar405deu.exe
shell\AutoRun\command - G:\aocsetup.exe /autorun
shell\log\command - G:\goodies\machine\machine.exe -l
shell\machine\command - G:\goodies\machine\machine.exe
shell\setup\command - G:\aocsetup.exe /autorun
shell\zone\command - G:\goodies\mszone\zonea660.exe


======List of files/folders created in the last 1 months======

2010-01-19 13:47:23 ----D---- C:\rsit
2010-01-19 12:35:37 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic
2010-01-18 13:10:12 ----A---- C:\WINDOWS\system32\javaws.exe
2010-01-18 13:10:12 ----A---- C:\WINDOWS\system32\javaw.exe
2010-01-18 13:10:12 ----A---- C:\WINDOWS\system32\java.exe
2010-01-18 13:07:52 ----A---- C:\WINDOWS\gmer.exe
2010-01-17 18:03:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2010-01-17 18:03:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-17 18:03:52 ----D---- C:\Programme\Anti-Malware
2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll.manifest
2010-01-16 23:21:01 ----A---- C:\WINDOWS\system32\ff_vfw.dll
2010-01-16 23:20:59 ----D---- C:\Programme\ffdshow
2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-01-12 20:02:24 ----A---- C:\WINDOWS\IsUn0407.exe
2010-01-10 20:11:25 ----A---- C:\WINDOWS\system32\ptpusb.dll
2010-01-10 20:11:24 ----A---- C:\WINDOWS\system32\ptpusd.dll
2009-12-30 23:34:12 ----D---- C:\Programme\Hamachi
2009-12-24 18:45:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2009-12-24 18:45:23 ----D---- C:\Programme\Gemeinsame Dateien\Logitech
2009-12-24 18:45:22 ----D---- C:\Programme\Logitech
2009-12-24 18:40:25 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-12-23 15:32:01 ----D---- C:\Programme\OpenAL
2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\wrap_oal.dll
2009-12-23 15:32:01 ----A---- C:\WINDOWS\system32\OpenAL32.dll
2009-12-23 00:59:32 ----A---- C:\WINDOWS\system32\xfcodec.dll

======List of files/folders modified in the last 1 months======

2010-01-19 13:47:26 ----D---- C:\Programme\HijackThis
2010-01-19 13:16:18 ----A---- C:\WINDOWS\wincmd.ini
2010-01-19 13:09:31 ----D---- C:\WINDOWS\Prefetch
2010-01-19 13:09:30 ----D---- C:\Programme\dBpowerAMP
2010-01-19 12:48:18 ----D---- C:\Programme\Paint Shop Pro 7
2010-01-19 12:43:53 ----D---- C:\Programme\Mozilla Firefox
2010-01-19 12:36:45 ----D---- C:\WINDOWS\Temp
2010-01-18 22:49:28 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-18 22:49:27 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-18 22:44:58 ----D---- C:\Programme\RSD
2010-01-18 19:46:05 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2010-01-18 18:45:59 ----RSHD---- C:\WINDOWS
2010-01-18 18:10:07 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2010-01-18 14:59:40 ----D---- C:\WINDOWS\system32
2010-01-18 13:23:58 ----HD---- C:\WINDOWS\inf
2010-01-18 13:23:28 ----RSD---- C:\WINDOWS\assembly
2010-01-18 13:23:04 ----D---- C:\WINDOWS\system32\DirectX
2010-01-18 13:10:35 ----SHD---- C:\WINDOWS\Installer
2010-01-18 13:10:09 ----D---- C:\Programme\Java
2010-01-18 13:03:40 ----D---- C:\WINDOWS\system32\drivers
2010-01-17 18:03:52 ----RD---- C:\Programme
2010-01-16 23:25:28 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-16 23:11:37 ----D---- C:\Programme\XP Codec Pack
2010-01-14 21:42:19 ----SD---- C:\Programme\Xfire
2010-01-13 08:27:44 ----D---- C:\Programme\Sygate Personal Firewall
2010-01-12 20:36:39 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2010-01-12 20:04:04 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-12 20:03:34 ----D---- C:\Programme\Adobe
2010-01-09 23:10:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2009-12-29 20:23:07 ----D---- C:\Programme\ICQLite
2009-12-24 19:07:52 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-12-24 18:40:31 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-12-23 15:32:07 ----D---- C:\WINDOWS\WinSxS

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2006-02-28 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 StyleXPHelper;StyleXPHelper; \??\C:\Programme\G DATA Windows XP Styler\StyleXPHelper.exe []
R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2002-11-29 16320]
R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2002-11-28 15360]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-12-30 25280]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-03-17 135168]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2004-09-24 2276672]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-09-27 7655872]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2004-04-01 10368]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2006-02-28 20480]
R3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-08-24 38656]
R3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-08-24 90112]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2004-10-27 223104]
S3 aoi6859v;aoi6859v; C:\WINDOWS\system32\drivers\aoi6859v.sys []
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Avast\aswUpdSv.exe [2009-11-25 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Avast\ashServ.exe [2009-11-25 138680]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-09-27 172100]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-10-22 75064]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-12-24 215104]
R2 SmcService; Sygate Personal Firewall Pro; C:\Programme\Sygate Personal Firewall\smc.exe [2004-02-24 2372760]
R2 StyleXPService;StyleXPService; C:\Programme\G DATA Windows XP Styler\StyleXPService.exe [2004-08-24 307200]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Avast\ashMaiSv.exe [2009-11-25 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Avast\ashWebSv.exe [2009-11-25 352920]
R3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-06-29 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Kos 19.01.2010 14:25
Das hier ist etwas merkwürdig:

Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d484486-bb83-11de-a4ad-806d6172696f}]
shell\adobe\command - G:\goodies\ar405deu.exe
shell\AutoRun\command - G:\aocsetup.exe /autorun
shell\log\command - G:\goodies\machine\machine.exe -l
shell\machine\command - G:\goodies\machine\machine.exe
shell\setup\command - G:\aocsetup.exe /autorun
shell\zone\command - G:\goodies\mszone\zonea660.exe
Überprüfe bitte die fett markierten Dateien bei VirusTotal, falls du sie noch finden kannst. Poste die Links zu den Ergebnissen, falls etwas gefunden wurde.

Überprüfe bei VirusTotal außerdem:

Code:
C:\WINDOWS\system32\xfcodec.dll

WinDown 19.01.2010 17:43
Zu den oberen kann beruhigt sagen, dass ich die nicht prüfen brauche :D G: ist nämlich mein CD-ROM-Laufwerk und da liegt zur Zeit Age of Empires 2: The Conquerors drin. ar405.exe ist der Acrobat Reader 4.05, AoC das Setup usw.
Da das Game von Microsoft Games publisht wurde bzw. da es schon recht lange im Laufwerk liegt, vermute ich mal, das deswegen die Einträge da sind.

Zu der xfcodec.dll: Nix gefunden. Ist laut VirusTotal der Videocodec für Xfire (ein Messenger für Spiele). :)

Kos 19.01.2010 18:09
Nu gut, dann noch ein paar abschließende Tipps:

Zitat:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Installiere unbedingt den SP3 für Windows. Den gibt es z. B. hier.

Installiere den neuesten Internet Explorer. Auch, wenn nicht benutzt, sollte man das Ding auf dem neuesten Stand halten, da es sehr tief im System verwurzelt ist und somit einen Angriffspunkt darstellt.

Empfehlenswert ist auch Secunia PSI, damit lassen sich etliche installierte Programme auf eine einfache Weise "up to date" halten.

Eine Entrümpelung ist ebenfalls nützlich.

Gut zu wissen: Kompromittierung unvermeidlich?

Das war's von meiner Seite :)

Gruß,
Kos

WinDown 21.01.2010 19:20
Ja, wollte ich sowieso schon 'ne Weile machen. Danke nochmal!


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131