So dann wollen wir mal

Anfang dieser Woche hab ich mir mit dem Klick auf eine .exe Datei viel Ärger eingehandelt bereits Sekunden nach dem Klick begann mein Symantec Firewall etliche emails zo blocken allerdings nicht nach von außen zu mir sondern umgekehrt. Das ganze war mit einer 50% Auslastung der explorer.exe verbunden (ich denke es wären hundert bei einem singlecore). Virenprogramm Symantec Corp. meldete erst mal nichts. Nach einem Neustart begann es dann: Warndreieck neben Der Uhr, Meldungen und Verknüpfungen auf dem desktop von wegen Antispyware blabla das Übliche eben. Daraufhin hat das Symantec auch den ein oder andern Virus gefunden konnte aber keinen entfernen. Also Sytemwiederherstllung aus und ab in den Abgesicherten Modus. dort durchgescannt und er hat einige gefunden und gelöscht. Danch bin ich dann wieder normal ins Windows gestartet die Spyware Meldungen und das Dreieck waren weg alles andere war noch da Auslastung cpu und diese emails. Ich hab daraufhin Symantec deinstalliert und Antivir installiert. Der hat dann im abgesicherten Modus einiges gefunden:

TR/Vundo.Gen C:\WINDOWS\system32\sstqn.VIR
WORM/SdBot.90112.5 C:\WINDOWS\system32\crehcjid.dll
TR/Crypt.PEC2X.Gen C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Lokale Einstellungen\Temp\gos182.tmp
HEUR/Malware C:\Dokumente und Einstellungen\Primmy\Lokale Einstellungen\Temp\IXP000.TMP\server.exe'
TR/Click.MNB C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYPHCLQI\poiu[1]
TR/Vundo.AU C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX4TMBKB\hctp[1
TR/Fotomoto.F.1 C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZJ1OYVN\pochki20071106[1]
TR/Dldr.Agen.ZV.1.B C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYPHCLQI\mosx1024[1]'
TR/Dldr.ConHook.Gen C:\WINDOWS\system32\wlswuvwb.dll
TR/Vundo.DQO


konnte aber nichts löschen. Also habe ich mit Bart PE gebootet und die ganzen virenfiles dort gelöscht daraufhin war alles weg , nur noch HijackThis zeigte mir einige verweise auf ein paar ddls an aber dahinter stand das diese dateien nicht mehr existieren sondern das es nur noch verweise sind ich habe diese probleme also gefixt.


So meiner Meinung nach ist alles wieder in Ordnung würde aber gern eure Meinungen hören da ich das Forum echt 1337 finde und außerdem son komisches Bauchgefühl habe was die Sache angeht. Also lass euch gehen und haut mir alles an den Kopf was euch einfällt. Wo könnte man noch was finden usw?


Hier noch meine aktueller HijackThis log :

Logfile of HijackThis v1.99.1
Scan saved at 18:40:49, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\SatSrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Dokumente und Einstellungen\Bodo\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - d:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "d:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8611C8F-0CC6-4497-8C9E-54EE2C331EA8}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Zitat:

WORM/SdBot.90112.5 C:\WINDOWS\system32\crehcjid.dll

Der sieht nicht gut aus. Auswerten kannst du die Datei leider nicht mehr (da du sie ja gelöscht hast), so können wir nicht mehr sagen, ob es ein Sdbot war oder doch eher Vundo.

Worstcase ist Sdbot, da der Backdoorfunktionen hat ist ein Neuaufsetzen angesagt.

Meines wissens nach geht der sdbot doch über den Port 6667 der ist aber auf meinem Router nicht aufgeschaltet was kann ich noch so drüber laufen lassen um zu kontrollieren, War es falsch das Ding zu löschen.

neu Aufsetzen wäre 2 Wochen Arbeit. Das das ganze das Beste wäre ist mir klar aber wie gesagt aus Zeitgründen beinahe nicht möglich. Einfach zuviele Programme drauf die ich wirklich brauche also keien ansammlung von irgendwelchen Müll

Zitat:

Meines wissens nach geht der sdbot doch über den Port 6667

Du meinst eine ganz bestimmte Variante benutzt vllt. diesen Port. D.h. aber nicht, dass deiner das auch macht.

Ich würd dann erstmal weiteren Analysen vorschlagen, ich bin mir hier nämlich auch nicht sicher, ob es überhaupt der Sdbot war. Führ dazu folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei fileupload hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

silentrunners log die andern folgen gleich



"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" [null data]
"SSS2008 PasswordManagerFFAutoFill" = ""d:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"" [null data]
"SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."]
"avgnt" = ""D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{1427A821-7B93-4F08-9A34-9FA03A3D93DB}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Steganos Password Manager AutoFill"
\InProcServer32\(Default) = "d:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll" [null data]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)"
-> {HKLM...CLSID} = "Skype add-on (mastermind)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]
"{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "d:\PROGRA~1\Eraser\erasext.dll" ["-"]
"{FAE0A3E0-3010-41BA-9DDC-A631394F047F}" = "SteganosShellExtension"
-> {HKLM...CLSID} = "SteganosShellExtension"
\InProcServer32\(Default) = "d:\Programme\Steganos Privacy Suite 2008\ShellExtension.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "d:\PROGRA~1\Eraser\erasext.dll" ["-"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "d:\PROGRA~1\Eraser\erasext.dll" ["-"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
SteganosShellExtension\(Default) = "{FAE0A3E0-3010-41BA-9DDC-A631394F047F}"
-> {HKLM...CLSID} = "SteganosShellExtension"
\InProcServer32\(Default) = "d:\Programme\Steganos Privacy Suite 2008\ShellExtension.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{00000000-5736-4205-0009-69923075AC16}\(Default) = "Steganos Private Favoriten"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "d:\programme\steganos privacy suite 2008\privatefavoritesiep.dll" [null data]

HKLM\Software\Classes\CLSID\{00000000-5736-4205-0009-C3C68D1BC971}\(Default) = "Steganos Private Favoriten"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "d:\programme\steganos security suite 2007\privatefavoritesiep.dll" [null data]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "d:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users.WINDOWS/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

.NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""D:\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""D:\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [MS]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
ATI Smart, ATI Smart, "C:\WINDOWS\system32\ati2sgag.exe" [empty string]
BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["SOFTWIN S.R.L"]
BitDefender Desktop Update Service, LIVESRV, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."]
BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]
BitDefender Virus Shield, VSSERV, ""D:\Programme\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\mspmsnsv.dll" [MS]}
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
Office Source Engine, ose, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"" [MS]
StarWind AE Service, StarWindServiceAE, "d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe" ["Rocket Division Software"]
Steganos AntiTheft, Steganos AntiTheft, "C:\WINDOWS\system32\\SatSrv.exe" [null data]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-11-23 20:51:18)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 25 seconds, including 9 seconds for message boxes)

hier das combo fix log :


ComboFix 07-11-19.3 - Bodo 2007-11-23 20:55:10.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1757 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bodo\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Favoriten\Online Security Guide.lnk
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-10-23 bis 2007-11-23 ))))))))))))))))))))))))))))))
.

2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-23 20:40 153,600 --a------ C:\WINDOWS\R.COM
2007-11-23 20:40 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-23 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\ICQ
2007-11-22 23:59 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-11-22 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\Bitdefender
2007-11-22 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BitDefender
2007-11-22 23:56 0 --a------ C:\WINDOWS\system32\bdss.log
2007-11-22 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\ICQ Toolbar
2007-11-22 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\TuneUp Software
2007-11-22 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\ATI
2007-11-22 19:57 <DIR> dr------- C:\Dokumente und Einstellungen\Bodo\Eigene Dateien
2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Vorlagen
2007-11-22 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Bodo\Startmen�
2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Netzwerkumgebung
2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen
2007-11-22 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Bodo\Favoriten
2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Druckumgebung
2007-11-22 19:56 <DIR> dr-h----- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten
2007-11-22 18:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Eigene Dateien
2007-11-22 18:35 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-11-22 18:34 294 ---hs---- C:\WINDOWS\system32\rpfndkhr.ini
2007-11-22 02:42 2,182,656 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2007-11-22 02:42 2,138,624 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-11-22 02:42 2,059,904 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2007-11-22 02:42 2,018,304 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2007-11-22 02:32 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Vorlagen
2007-11-22 00:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Startmen�
2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Netzwerkumgebung
2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen
2007-11-22 00:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Favoriten
2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Druckumgebung
2007-11-22 00:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Anwendungsdaten
2007-11-20 22:02 156,672 --a--c--- C:\WINDOWS\system32\dllcache\winzm.ime
2007-11-20 22:02 156,672 --a--c--- C:\WINDOWS\system32\dllcache\winsp.ime
2007-11-20 22:02 156,672 --a--c--- C:\WINDOWS\system32\dllcache\winpy.ime
2007-11-20 22:02 79,360 --a--c--- C:\WINDOWS\system32\dllcache\winar30.ime
2007-11-20 22:02 69,120 --a--c--- C:\WINDOWS\system32\dllcache\wingb.ime
2007-11-20 22:02 65,536 --a--c--- C:\WINDOWS\system32\dllcache\winime.ime
2007-11-20 22:02 41,600 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.dll
2007-11-20 22:02 31,360 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.sys
2007-11-20 22:02 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2007-11-20 22:01 65,536 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_mailmsg.dll
2007-11-20 22:01 57,856 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_scripto.dll
2007-11-20 22:01 38,912 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_ntfsdrv.dll
2007-11-20 22:01 26,112 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_seos.dll
2007-11-20 22:01 23,040 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_regtrace.exe
2007-11-20 22:01 12,288 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpctrs.dll
2007-11-20 22:01 7,168 --a--c--- C:\WINDOWS\system32\dllcache\iisfecnv.dll
2007-11-20 22:01 7,168 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_snprfdll.dll
2007-11-20 22:00 268,288 --a--c--- C:\WINDOWS\system32\dllcache\httpext.dll
2007-11-20 22:00 189,952 --a--c--- C:\WINDOWS\system32\dllcache\smtpadm.dll
2007-11-20 22:00 78,336 --a--c--- C:\WINDOWS\system32\dllcache\logui.ocx
2007-11-20 22:00 20,536 --a--c--- C:\WINDOWS\system32\dllcache\shtml.dll
2007-11-20 22:00 16,437 --a--c--- C:\WINDOWS\system32\dllcache\shtml.exe
2007-11-20 22:00 7,168 --a--c--- C:\WINDOWS\system32\dllcache\wamregps.dll
2007-11-20 21:59 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2007-11-20 21:58 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2007-11-20 21:12 1,899,936 --a--c--- C:\WINDOWS\system32\dllcache\NT5.CAT
2007-11-20 21:12 1,086,058 --a--c--- C:\WINDOWS\system32\dllcache\NTPRINT.CAT
2007-11-20 21:12 1,014,663 --a--c--- C:\WINDOWS\system32\dllcache\SP2.CAT
2007-11-20 21:12 817,199 --a--c--- C:\WINDOWS\system32\dllcache\NT5IIS.CAT
2007-11-20 21:12 618,406 --a--c--- C:\WINDOWS\system32\dllcache\NT5INF.CAT
2007-11-20 21:12 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-11-20 21:12 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-11-20 21:12 14,043 --a--c--- C:\WINDOWS\system32\dllcache\IMS.CAT
2007-11-20 21:12 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2007-11-20 21:12 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-11-20 21:12 13,472 --a--c--- C:\WINDOWS\system32\dllcache\HPCRDP.CAT
2007-11-20 21:12 7,382 --a--c--- C:\WINDOWS\system32\dllcache\OEMBIOS.CAT
2007-11-20 19:47 294 --ahs---- C:\WINDOWS\system32\txxjcfbt.ini
2007-11-20 00:04 16,768 --a------ C:\WINDOWS\system32\tcpip_patcher.sys
2007-11-19 23:47 160,373 --ahs---- C:\WINDOWS\system32\nqtss.ini2
2007-11-19 23:47 160,373 --ahs---- C:\WINDOWS\system32\nqtss.ini
2007-11-19 23:42 36,352 --a------ C:\WINDOWS\system32\ljjhiif.dll
2007-11-19 23:42 36,352 --a------ C:\WINDOWS\system32\gebxxyv.dll
2007-11-19 23:35 <DIR> d-------- C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\VMware
2007-11-19 23:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VMware
2007-11-16 21:16 <DIR> d-------- C:\Programme\ICQToolbar
2007-11-15 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\MatchWare
2007-11-14 22:44 <DIR> d-------- C:\Programme\MatchWare
2007-11-14 20:59 34 --a------ C:\WINDOWS\system32\BD8460N.DAT
2007-11-14 20:58 118,784 --a------ C:\WINDOWS\system32\BROSNMP.DLL
2007-11-14 20:58 77,824 --a------ C:\WINDOWS\system32\BRLMW03A.DLL
2007-11-14 20:58 69,632 --a------ C:\WINDOWS\system32\BRRBTOOL.EXE
2007-11-14 20:58 45,056 --a------ C:\WINDOWS\system32\BRTCPCON.DLL
2007-11-14 20:58 24,223 --a------ C:\WINDOWS\system32\BRLM03A.DLL
2007-11-14 20:58 114 --a------ C:\WINDOWS\system32\BRLMW03A.INI
2007-11-14 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Brother

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-22 19:24 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2007-11-19 00:52 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\mIRC
2007-11-16 22:11 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Skype
2007-11-16 20:15 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\ICQ
2007-11-05 00:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-03 19:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Agnitum Shared
2007-10-31 01:01 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Azureus
2007-10-31 01:01 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\BitTorrent DNA
2007-10-31 01:01 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\BitTorrent
2007-10-29 14:52 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Bioshock
2007-10-29 03:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-29 03:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-20 23:43 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\teamspeak2
2007-10-16 20:53 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\ICQ Toolbar
2007-10-15 21:16 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\InstallShield
2007-10-15 17:54 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\atitray
2007-10-14 11:08 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Miranda
2007-10-11 10:24 85,952 ----a-w C:\WINDOWS\sleen1664.sys
2007-10-11 10:24 79,104 ----a-w C:\WINDOWS\system32\drivers\sleen16.sys
2007-10-10 09:39 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\VoipCheapCom
2007-10-09 00:12 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2007-10-07 16:17 --------- d-----w C:\Programme\AGEIA Technologies
2007-10-06 15:37 --------- d-----w C:\Programme\Skype
2007-10-06 05:02 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\TrueCrypt
2007-10-05 20:51 --------- d-----w C:\Programme\Java
2007-10-04 21:58 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\ATI
2007-10-04 21:58 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ATI
2007-10-04 21:53 --------- d-----w C:\Programme\ATI Technologies
2007-10-04 01:51 --------- d-----w C:\Programme\BitTorrent_DNA
2007-10-03 21:11 --------- d-----w C:\Programme\AviSynth 2.5
2007-10-03 01:08 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Ahead
2007-10-01 20:30 --------- d--h--r C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\SecuROM
2007-10-01 20:26 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-10-01 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2007-10-01 18:17 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nero
2007-10-01 18:01 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\TuneUp Software
2007-10-01 17:57 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2007-10-01 17:56 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\vlc
2007-09-30 22:34 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Skype
2007-09-28 23:16 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Bioshock
2007-09-28 22:28 --------- d--h--r C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\SecuROM
2007-09-28 20:51 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\vlc
2007-09-28 19:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-09-28 18:58 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\FileZilla
2007-09-28 18:40 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Screaming Bee
2007-09-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Screaming Bee
2007-09-27 23:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-09-27 23:47 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Ahead
2007-09-27 23:33 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\TuneUp Software
2007-09-27 23:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-09-27 22:29 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\InstallShield
2007-09-27 22:08 --------- d-----w C:\Programme\Intel
2007-09-27 21:54 --------- d-----w C:\Programme\Analog Devices
2007-09-27 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-09-27 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-09-27 21:11 --------- d-----w C:\Programme\microsoft frontpage
2007-09-27 21:10 --------- d-----w C:\Programme\Online-Dienste
2007-09-27 21:09 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-09-27 21:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2006-05-03 09:06 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sha-r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1427A821-7B93-4F08-9A34-9FA03A3D93DB}]
2007-10-12 15:29 20480 --a------ d:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"SSS2008 PasswordManagerFFAutoFill"="d:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe" [2007-10-12 15:29]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 20:34]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-22 20:34]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\28d46ebf]
rundll32.exe C:\WINDOWS\system32\rhkdnfpr.dll,b

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
D:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe /automount

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]
2007-03-26 15:49 69632 --a------ D:\Programme\Softwin\BitDefender10\bdagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
D:\Programme\Softwin\BitDefender10\bdmcon.exe /reg

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
D:\Programme\BearShare\BearShare.exe /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
2007-10-04 02:51 286016 --a------ C:\Programme\BitTorrent_DNA\dna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
d:\Programme\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
D:\Programme\Eraser\eraser.exe -hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
d:\Programme\ICQ6\ICQ.exe silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 Agent]
2006-12-11 17:34 26624 --a------ d:\Programme\Steganos Security Suite 2007\SteganosAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 File Redirection Starter]
2006-12-11 16:31 53248 --a------ d:\Programme\Steganos Security Suite 2007\fredirstarter.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 HotKeys]
2006-12-11 17:34 25088 --a------ d:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 PasswordManagerFFAutoFill]
2006-12-11 17:34 20992 --a------ d:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2008 File Redirection Starter]
2007-10-11 16:40 57344 --a------ d:\Programme\Steganos Privacy Suite 2008\fredirstarter.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2008 HotKeys]
2007-10-12 15:29 25088 --a------ d:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMware hqtray]
D:\Programme\VMware\VMware Workstation\hqtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]
D:\Programme\VMware\VMware Workstation\vmware-tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipCheapCom]
D:\Programme\VoipCheapCom\VoipCheapCom.exe -nosplash -minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)
"aawservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

S0 extfs;extfs;C:\WINDOWS\system32\drivers\extfs.sys
S1 atitray;atitray;\??\d:\Program Files\DNA-drivers\DNA-ATi\Driver\ATI Tray Tools\atitray.sys
S1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver];\??\C:\WINDOWS\system32\drivers\Sleen14.sys
S1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];\??\C:\WINDOWS\system32\drivers\Sleen16.sys
S1 tdiip;tdiip;C:\WINDOWS\system32\drivers\tdiip.sys
S1 usbkbd;usbkbd;C:\WINDOWS\system32\drivers\usbkbd.sys
S2 Steganos AntiTheft;Steganos AntiTheft;C:\WINDOWS\system32\\SatSrv.exe
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
S3 tcpip_patcher;tcpip_patcher;\??\C:\WINDOWS\system32\tcpip_patcher.sys


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0B42273F-FCC2-16F5-0601-040600000808}]
C:\WINDOWS\system32\owned.scr

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A020B4EE-CA0F-FE68-D589-AE9B1100DF27}]
C:\WINDOWS\system32\nvsocketcl.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-10-01 18:02:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe







Ich hätte auch noch ein vundofix log escan geht irgendwie nich da bekomm ich nen bluescreen
.

Hier sind ein paar verdächtige Kandidaten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\tdiip.sys
C:\WINDOWS\system32\ljjhiif.dll
C:\WINDOWS\system32\gebxxyv.dll
C:\WINDOWS\sleen1664.sys
C:\WINDOWS\system32\drivers\sleen16.sys
C:\WINDOWS\system32\rhkdnfpr.dll
C:\WINDOWS\system32\drivers\extfs.sys
C:\WINDOWS\system32\dllcache\winzm.ime
C:\WINDOWS\system32\dllcache\winsp.ime
C:\WINDOWS\system32\dllcache\winpy.ime
         

Werte die mal nacheinander bei Virustotal aus und poste die Ergebnisse.

hier die datein die ich finden konnte manche waren nicht aufindbar:

ljjhiif.dll VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

gebxxyv.dll VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

sleen VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

tdi VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis


die winz.ime ist wohl sauber die andern die du mir noch geschreiben hast sind nicht zu finden

winsp.ime scheint auch sauber

Danke für die Hilfe aber ich sehe das es wohl keinen Sinn mehr hat aber danke für die Kompetenz echt 1337

Mach mal folgendes:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\bdss.log
C:\WINDOWS\system32\rpfndkhr.ini
C:\WINDOWS\system32\drivers\tdiip.sys
C:\WINDOWS\system32\ljjhiif.dll
C:\WINDOWS\system32\gebxxyv.dll
C:\WINDOWS\system32\txxjcfbt.ini
C:\WINDOWS\system32\nqtss.ini2
C:\WINDOWS\system32\nqtss.ini
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Mach einen Check mit eScan

ich habe gestern abend den escan noch zum laufen bekommen der hat noch von 26 funden berichtet ich installier jetzt das we durch und mach mir für die zukunft mit true image ne kopie das reinigen der andern installation wäre ein absolutes gehackstückele gewesen aber trotzdem danke

Also hast du jetzt neu aufgesetzt?