Brauche Hilfe gegen Win32.Trojan-PSW.Lineage

spratelboing · 15.01.2008, 18:52

So, hallo miteinander. Mein erstes posting hier.

Bitte, bitte gibt euch die Mühe und liest es durch. Ich hab echt kein Plan was ich tun soll!!

Folgendes, habe ein paar Screensaver aus dem Netz bei mir installiert. Aktualisierter Avira Antivir hat mir bei den Installationsdateien nichts gemeldet. Jetzt ist die ***** am dampfen hier.

Aber erstmal zu den System Details:
Der infizierte Rechner ist ein R400 Notebook von LG mit Windows XP SP2.

1.Also, folgende Dinge konnte ich nach Infizierung beobachten:
Internet ging nicht mehr (hing zuvor über wlan am router). Als ich der Sache auf den Grund gehen wollte fiel mir auf, dass der service "konfigurationsfreihe drahtlose Verbindung" nicht gestartet werden konnte. Grund dafür ist, dass der service "NDIS-Benutzermodus-E/A-Protokoll" deaktiviert udn außerdem auch nicht mehr in der Systemsteuerung -> Verwaltung -> Dienste zu finden ist.
Daraufhin hab ich ihn in der registry auf 'automatisch starten' gesetzt, was jedoch ohne einen Neustart keine Änderung mit sich bringt. Nach nem Neustart verbindet der wlan adapter tatsächlich wieder, aber so bald ich den browser (Mozilla) starte, springt oben genannter registry eintrag des NDIS-service wieder auf deaktiviert und der adapter verliert die Verbindung zum router.

2.Anschließend fiel mir auf, dass Sygate FW, Avira Antivir und Spybot deinstalliert wurden (oder zumindest deren ausführbaren Dateien gelöscht)! Krass, und bei AdAware 2007 waren die automatischen updates deaktiviert. Aber wenigstens lief das noch. Ich habe also damit einen full system scan durchgeführt und den trojaner "Win32.Trojan-PSW.Lineage" gefunden und in Quarantäne verschoben. Ein erneuter scan nach einem Neustart fand nix mehr.

3.Da ich den wlan adapter nicht wieder hingekriegt habe und sich obiger registry eintrag immer verstellt, dachte ich, dass wohl noch was schädliches auf dem Rechner ist. Daraufhin wollte ich mit nem anderen PC diverse Antiviren Software runterladen um sie dann auf dem infizierten auszuführen. Hmm, hier gibts ein weiteres Problem:
Sowohl spybot, als auch antivir, konnte ich nicht neu installieren. Und das obwohl ich beides vorher in der Systemsteuerung -> Software deinstalliert habe (gefolgt von einem Neustart).

4.Daraufhin hab ich mir in diesem Forum ComboFix und filelist.zip runter geladen und lasse diese gerade laufen. Die log files poste gleich.

Jemand schon eine Idee ob der trojaner tatsächlich das problem ist?

Vielen Dank schonmal und sorry nochmal, dass es so viel Text geworden ist.

spratelboing · 15.01.2008, 19:32

Ok, was ich vorher noch vergessen habe:

Bevor ich versucht habe Antivir und spybot wieder zu installieren wollte ich einen früheren System Wiederherstellungspunkt, äh "wiederherstellen", aber das hat auch nicht funktioniert. Hab's mit mehreren Wiederherstellungspunkten versucht.

Glaube, das sagt auch das log file von ComboFix, das nun folgen wird:

ComboFix 08-01-15.4 - nadia 2008-01-15 18:46:53.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1500 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\nadia\Desktop\security\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-15 18:21 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 15:24 . 2008-01-15 15:24 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-15 13:43 . 2008-01-15 13:43 <DIR> d-------- C:\Programme\Kryptile ScreenSavers
2008-01-15 13:41 . 2006-10-14 06:01 724,165 --------- C:\WINDOWS\system32\drivers\hldrrr.exe
2008-01-15 13:41 . 2008-01-15 13:41 70,660 --a------ C:\WINDOWS\system32\mdelk.exe
2008-01-15 13:40 . 2008-01-15 13:48 <DIR> d-------- C:\WINDOWS\system32\drivers\down
2008-01-15 13:32 . 2008-01-15 14:46 <DIR> d-------- C:\Programme\EarthView
2008-01-15 13:31 . 2008-01-15 14:45 <DIR> d-------- C:\Program
2008-01-15 13:30 . 2008-01-15 13:30 <DIR> d-------- C:\Programme\What is the matrix
2008-01-15 13:30 . 2002-08-15 10:37 643,072 --a------ C:\WINDOWS\What is the matrix.scr
2008-01-15 13:30 . 2008-01-15 14:32 111 --a------ C:\WINDOWS\What is the matrix.ini
2008-01-15 13:30 . 2008-01-15 13:30 72 --a------ C:\WINDOWS\FSaver.ini
2008-01-15 13:28 . 2008-01-15 13:28 <DIR> d-------- C:\Programme\Auskalo Interactive
2008-01-15 13:28 . 2008-01-15 14:45 <DIR> d-------- C:\Programme\3D Butterfly
2008-01-15 13:28 . 2008-01-15 13:28 537,294 --a------ C:\WINDOWS\system32\Kukuxumusu ANTfermin.scr
2008-01-15 13:27 . 2008-01-15 13:27 <DIR> d-------- C:\Programme\Dolphin Aqua Life 3D
2008-01-15 13:26 . 2008-01-15 13:26 4,806,504 --a------ C:\WINDOWS\system32\Earth from Above2.mpf
2008-01-15 13:26 . 2008-01-15 13:26 524,800 --a------ C:\WINDOWS\system32\Earth from Above2.scr
2008-01-15 13:25 . 2008-01-15 14:47 <DIR> d-------- C:\Programme\GlobFX Technologies
2008-01-14 22:32 . 2008-01-15 14:47 <DIR> d-------- C:\WINDOWS\system32\The Simpsons Movie dir
2008-01-14 22:15 . 2008-01-15 09:11 91 --a------ C:\WINDOWS\AD_PREFS.INI
2008-01-14 22:13 . 2008-01-14 22:13 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\WINDOWS
2008-01-14 22:13 . 1994-08-02 03:01 30,736 --a------ C:\WINDOWS\AD_RSRC.DLL
2008-01-14 22:13 . 1994-08-02 03:01 30,681 --a------ C:\WINDOWS\SPALETTE.DLL
2008-01-14 22:13 . 1994-08-02 03:01 4,784 --a------ C:\WINDOWS\system\SPMME.DRV
2008-01-14 22:13 . 2008-01-14 22:13 659 --a------ C:\WINDOWS\WIN.AD3
2008-01-14 22:11 . 2008-01-14 22:13 242 --a------ C:\WINDOWS\SYSTEM.ZYX
2008-01-14 22:11 . 2008-01-14 22:13 242 --a------ C:\WINDOWS\SYSTEM.AD3
2008-01-14 18:01 . 2008-01-14 18:02 <DIR> d-------- C:\Programme\QuickTime
2008-01-14 18:01 . 2008-01-14 18:01 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-14 18:01 . 2008-01-14 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-14 18:01 . 2008-01-14 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-14 17:37 . 2008-01-14 17:56 <DIR> d-------- C:\Programme\The Weather Channel FW
2008-01-14 17:36 . 2008-01-15 14:50 <DIR> d-------- C:\Programme\Trillian
2008-01-14 14:27 . 2008-01-14 14:56 <DIR> d-------- C:\Programme\Nsasoft
2008-01-14 14:27 . 2008-01-14 14:46 <DIR> d-------- C:\Programme\Cain
2008-01-14 14:26 . 2008-01-14 14:35 <DIR> d-------- C:\Programme\WinPcap
2008-01-14 14:26 . 2008-01-14 14:26 <DIR> d-------- C:\Programme\Nmap
2008-01-14 12:57 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-12 11:53 . 2008-01-12 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\GibbHill Properties Ltd
2008-01-12 11:33 . 2008-01-12 11:33 41 --a------ C:\WINDOWS\system32\Filzip.ini
2008-01-12 10:32 . 2008-01-12 10:36 <DIR> d-------- C:\Programme\Microsoft SQL Server
2008-01-12 10:29 . 2006-09-23 02:30 327,680 --a------ C:\WINDOWS\system32\pythoncom25.dll
2008-01-12 10:29 . 2006-09-23 02:18 102,400 --a------ C:\WINDOWS\system32\pywintypes25.dll
2008-01-12 10:28 . 2008-01-12 10:29 <DIR> d-------- C:\Python25
2008-01-12 10:27 . 2008-01-12 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CambridgeSoft
2008-01-12 10:23 . 2008-01-12 10:24 <DIR> d-------- C:\CSTEMP
2008-01-12 10:00 . 2008-01-12 10:16 <DIR> d-------- C:\watcom-1.3
2008-01-12 10:00 . 2008-01-12 10:00 <DIR> d--h----- C:\Programme\Zero G Registry
2008-01-12 10:00 . 2008-01-12 10:16 <DIR> d-------- C:\Programme\Maple 11
2008-01-12 10:00 . 2008-01-12 10:00 147,456 --a------ C:\WINDOWS\system32\WMIMPLEX.dll
2008-01-12 10:00 . 2008-01-12 10:00 36,864 --a------ C:\WINDOWS\system32\maplec.dll
2008-01-12 09:59 . 2008-01-12 09:59 <DIR> d--h----- C:\Dokumente und Einstellungen\nadia\InstallAnywhere
2008-01-06 10:25 . 2008-01-06 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Nero
2008-01-06 10:25 . 2008-01-06 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ATI
2008-01-06 10:24 . 2007-12-30 20:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-01-06 10:24 . 2007-12-30 20:42 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmenü
2008-01-06 10:24 . 2007-12-30 20:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-01-06 10:24 . 2008-01-15 18:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-01-06 10:24 . 2008-01-06 10:25 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2008-01-06 10:24 . 2008-01-06 10:25 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-01-06 10:24 . 2007-12-30 20:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-01-06 10:24 . 2008-01-06 10:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-01-05 15:45 . 2008-01-05 19:25 245 --a------ C:\WINDOWS\NetSend.INI
2008-01-05 15:41 . 2008-01-05 15:42 <DIR> d-------- C:\Programme\NetSend 1.0
2008-01-04 23:24 . 2008-01-04 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\ATI
2008-01-04 23:24 . 2008-01-04 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-01-04 23:20 . 2007-12-05 14:17 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-01-04 14:16 . 2008-01-04 14:16 <DIR> d-------- C:\WINDOWS\Sun
2008-01-03 21:02 . 2008-01-03 21:45 <DIR> d-------- C:\Programme\i2p
2008-01-03 20:55 . 2008-01-03 20:55 <DIR> d-------- C:\Programme\Java
2008-01-03 20:55 . 2008-01-03 20:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-03 20:55 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-03 19:13 . 2008-01-03 19:13 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-03 19:10 . 2008-01-03 19:10 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2008-01-03 19:09 . 2008-01-03 19:13 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-01-03 19:09 . 2008-01-03 19:09 <DIR> dr-h----- C:\MSOCache
2008-01-03 18:30 . 2008-01-03 18:30 <DIR> d-------- C:\Programme\xp-AntiSpy
2008-01-03 18:06 . 2008-01-15 18:30 <DIR> d-------- C:\Programme\PeerGuardian2
2008-01-03 17:42 . 2008-01-15 13:37 <DIR> d-------- C:\Programme\emule xtreme
2008-01-03 09:53 . 2008-01-03 09:53 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-01-03 09:53 . 2008-01-03 09:53 0 ---hs---- C:\WINDOWS\SF262CE45.tmp
2008-01-03 09:35 . 2008-01-12 10:24 <DIR> d-------- C:\Programme\CambridgeSoft
2008-01-03 09:33 . 2008-01-03 09:33 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-01-02 21:23 . 2008-01-02 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\vlc
2008-01-02 21:20 . 2008-01-14 20:22 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-02 21:15 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-01-02 21:13 . 2008-01-03 19:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-02 20:47 . 2008-01-02 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Nero
2008-01-02 20:46 . 2008-01-02 20:46 <DIR> d-------- C:\Programme\Nero
2008-01-02 20:46 . 2008-01-02 20:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-01-02 20:46 . 2008-01-02 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-02 20:39 . 2008-01-12 11:30 <DIR> d-------- C:\Programme\MestRe-C
2008-01-02 20:35 . 2008-01-02 20:35 <DIR> d-------- C:\Programme\AVI MPEG ASF WMV Splitter
2008-01-02 20:10 . 2008-01-03 19:23 <DIR> d-------- C:\WINDOWS\CatRoot
2008-01-02 20:10 . 2008-01-02 20:10 <DIR> d-------- C:\Programme\Vimicro
2008-01-02 20:10 . 2000-10-31 00:00 307,200 --a------ C:\WINDOWS\vidcap32.Exe
2008-01-02 20:10 . 2002-11-01 17:50 147,527 --a------ C:\WINDOWS\system32\VM31bPrp.Ax
2008-01-02 20:10 . 2002-08-22 16:34 147,456 --a------ C:\WINDOWS\VMCap.exe
2008-01-02 20:10 . 2002-11-01 17:43 93,450 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-04 22:06 --------- d-----w C:\Programme\ATI Technologies
2008-01-03 17:41 359,808 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-01-02 19:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-31 13:10 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-30 20:16 --------- d-----w C:\Programme\DIFX
2007-12-30 20:15 --------- d-----w C:\Programme\Atheros
2007-12-30 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2007-12-30 20:13 --------- d-----w C:\Programme\ATI
2007-12-30 19:52 --------- d-----w C:\Programme\microsoft frontpage
2007-12-30 19:51 558,142 ----a-w C:\WINDOWS\java\Packages\7JXF5BLB.ZIP
2007-12-30 19:51 155,995 ----a-w C:\WINDOWS\java\Packages\KN5J3BXZ.ZIP
2007-12-30 19:50 --------- d-----w C:\Programme\Online-Dienste
2007-12-30 19:49 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-30 19:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-30 19:42 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-30 19:42 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-20 07:10 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-12-20 07:10 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-12-13 18:09 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-12-05 05:26 2,782,208 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-12-05 03:05 368,640 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-12-05 03:04 269,312 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-12-05 02:56 147,456 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-12-05 02:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-12-05 02:55 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-12-05 02:54 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-12-05 02:53 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-12-05 02:53 495,616 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-12-05 02:48 9,535,488 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-12-05 02:48 6,217,728 ----a-w C:\WINDOWS\system32\Atioglgl.dll
2007-12-05 02:44 3,175,584 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-12-05 02:33 1,640,192 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-12-05 02:19 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-12-05 02:19 385,024 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-12-05 02:17 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-12-05 02:16 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-12-05 02:14 180,224 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-12-05 02:11 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-12-04 08:59 972,072 ----a-w C:\WINDOWS\UNRecode.exe
2007-12-03 17:04 95,600 ----a-w C:\WINDOWS\system32\NeroCo.dll
2007-11-21 16:31 132,904 ----a-w C:\WINDOWS\system32\drivers\imagesrv.sys
2007-11-21 16:31 11,304 ----a-w C:\WINDOWS\system32\drivers\imagedrv.sys
2007-11-06 20:23 240,248 ----a-w C:\WINDOWS\system32\wpcap.dll
2007-11-06 20:22 88,696 ----a-w C:\WINDOWS\system32\Packet.dll
2007-11-06 20:22 68,224 ----a-w C:\WINDOWS\system32\WanPacket.dll
2007-11-06 20:19 53,299 ----a-w C:\WINDOWS\system32\pthreadVC.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-24 00:47 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2007-10-24 00:47 84,480 ----a-w C:\WINDOWS\system32\mscories.dll
2007-10-24 00:47 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2007-10-24 00:47 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-10-14 06:01 724165]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-07 15:08 21686568]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-08-26 07:02 11852288]
"german.exe"="C:\WINDOWS\system32\wintems.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"batterymiser"="C:\Programme\LG Software\Battery Miser\batterymiser.exe" [2007-02-23 08:33 327680]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 13:37 174872]
"KeybdUtility"="C:\Programme\LG Software\On Screen Display\HotKey.exe" [2007-03-12 11:01 2691072]
"SkyTel"="SkyTel.EXE" [2007-04-20 11:01 2879488 C:\WINDOWS\SkyTel.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2007-04-20 11:05 89541 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-20 11:01 16125440 C:\WINDOWS\RTHDCPL.exe]
"LGSI"="C:\Programme\LG Software\Status Indicator\SITray.exe" [2006-07-10 10:04 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-20 11:00 815104]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 14:21 94208]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-10-14 06:01 724165]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\nadia\Startmen\Programme\Autostart\
Trillian.lnk - C:\Programme\Trillian\trillian.exe [2007-12-11]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Privoxy.lnk - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 15:30:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"= C:\WINDOWS\System32\bmpsap.dll [2007-02-23 08:32 114688]

SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

R2 MSSQL$CSSQL05;SQL Server (CSSQL05);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" [2007-02-10 09:29]
R2 SQLWriter;SQL Server VSS Writer;"C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 05:29]
R3 lgsnd_filter;lgsnd_filter;C:\WINDOWS\system32\drivers\lgsnd_filter.sys [2005-12-14 21:30]
S3 lgodd_filter;lgodd_filter;C:\WINDOWS\system32\drivers\lgodd_filter.sys []
S3 LGPCETH;LGPCETH;C:\Programme\LG Software\Status Indicator\LGPCETH.sys [2006-06-22 11:30]
S3 LGPCNDIS;LGPCNDIS;C:\Programme\LG Software\Status Indicator\LGPCNDIS.sys [2006-06-22 11:30]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 21:22]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-14 17:01:43 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-01 21:48:23 C:\WINDOWS\Tasks\Critical Battery Alarm Program.job"
"2008-01-01 21:48:23 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 18:47:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 18:48:23
ComboFix-quarantined-files.txt 2008-01-15 17:48:09
ComboFix2.txt 2008-01-15 17:31:12
.
2008-01-01 15:33:09 --- E O F ---

spratelboing · 15.01.2008, 19:33

und anschließend noch die filelist.txt:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\

15.01.2008 18:48 18.962 ComboFix.txt
15.01.2008 18:26 2.145.505.280 hiberfil.sys
15.01.2008 18:26 2.145.386.496 pagefile.sys
15.01.2008 08:36 75 Neu Textdokument.txt
14.01.2008 22:13 1 AUTOEXEC.BAT
14.01.2008 22:13 0 CONFIG.SYS
01.01.2008 17:35 211 boot.ini
01.01.2008 17:32 47.564 NTDETECT.COM
01.01.2008 17:32 251.184 ntldr
30.12.2007 20:51 0 MSDOS.SYS
30.12.2007 20:51 0 IO.SYS

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS\system32

15.01.2008 13:41 5.304 ban_list.txt
15.01.2008 13:41 70.660 mdelk.exe
15.01.2008 13:36 1.760 worldmap.log
15.01.2008 13:28 537.294 Kukuxumusu ANTfermin.scr
15.01.2008 13:26 4.806.504 Earth from Above2.mpf
15.01.2008 13:26 524.800 Earth from Above2.scr
12.01.2008 11:33 41 Filzip.ini
12.01.2008 10:36 568.478 perfh009.dat
12.01.2008 10:36 107.314 perfc009.dat
12.01.2008 10:36 594.268 perfh007.dat
12.01.2008 10:36 124.604 perfc007.dat
12.01.2008 10:36 1.284.866 PerfStringBackup.INI
12.01.2008 10:08 360.936 FNTCACHE.DAT
12.01.2008 10:00 36.864 maplec.dll
12.01.2008 10:00 147.456 WMIMPLEX.dll
12.01.2008 09:19 1.230 wpa.dbl
03.01.2008 20:55 5.686 jupdate-1.6.0_03-b05.log
02.01.2008 21:11 188 MsiExec.exe.log
01.01.2008 17:57 255 spupdwxp.log
31.12.2007 14:22 146.650 BuzzingBee.wav
31.12.2007 14:22 940.794 LoopyMusic.wav
30.12.2007 21:08 552 d3d8caps.dat
30.12.2007 21:06 25.065 wmpscheme.xml
30.12.2007 20:53 2.084 $winnt$.inf
30.12.2007 20:51 2.951 CONFIG.NT
30.12.2007 20:51 16.832 amcompat.tlb
30.12.2007 20:51 23.392 nscompat.tlb
30.12.2007 20:50 488 WindowsLogon.manifest
30.12.2007 20:50 488 logonui.exe.manifest
30.12.2007 20:50 749 ncpa.cpl.manifest
30.12.2007 20:50 749 sapi.cpl.manifest
30.12.2007 20:50 749 wuaucpl.cpl.manifest
30.12.2007 20:50 749 nwc.cpl.manifest
30.12.2007 20:50 749 cdplayer.exe.manifest
30.12.2007 20:48 21.740 emptyregdb.dat
30.12.2007 20:47 0 h323log.txt
20.12.2007 08:10 348.160 msvcr71.dll
20.12.2007 08:10 499.712 msvcp71.dll
11.12.2007 10:57 65.536 QuickTimeVR.qtx
11.12.2007 10:57 49.152 QuickTime.qts

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS\Prefetch

15.01.2008 19:23 12.088 CMD.EXE-087B4001.pf
15.01.2008 19:23 11.128 FIND.EXE-0EC32F1E.pf
15.01.2008 19:20 49.424 FILZIP.EXE-01E25715.pf
15.01.2008 19:20 14.778 VERCLSID.EXE-3667BD89.pf
15.01.2008 19:13 32.612 RUNDLL32.EXE-39EAFF3E.pf
15.01.2008 19:12 16.780 NOTEPAD.EXE-336351A9.pf
15.01.2008 19:01 323.216 Layout.ini
15.01.2008 18:47 87.224 REGEDIT.EXE-1B606482.pf
15.01.2008 18:47 19.850 IMAPI.EXE-0BF740A4.pf
15.01.2008 18:47 87.570 WMIPRVSE.EXE-28F301A9.pf
15.01.2008 18:46 113.142 EXPLORER.EXE-082F38A9.pf
15.01.2008 18:29 83.696 SKYPEPM.EXE-03F1BFBD.pf
15.01.2008 18:29 61.288 TOR.EXE-2C8A76BE.pf
15.01.2008 18:29 14.162 CTFMON.EXE-0E17969B.pf
15.01.2008 18:24 56.770 LOGONUI.EXE-0AF22957.pf
15.01.2008 18:20 20.168 TASKMGR.EXE-20256C55.pf
15.01.2008 18:07 74.980 RUNDLL32.EXE-13404D23.pf
15.01.2008 18:06 73.304 MSIEXEC.EXE-2F8A8CAE.pf
15.01.2008 17:45 112.822 FIREFOX.EXE-1D57670A.pf
15.01.2008 17:38 66.736 TRILLIAN.EXE-302642F0.pf
15.01.2008 17:38 19.508 PRIVOXY.EXE-2BF26DF6.pf
15.01.2008 17:38 30.634 NMINDEXINGSERVICE.EXE-1C758E9B.pf
15.01.2008 17:38 12.212 HOTKEY.EXE-2C376943.pf
15.01.2008 17:38 10.804 AGRSMMSG.EXE-0034A7F7.pf
15.01.2008 17:38 62.832 BATTERYMISER.EXE-2ADBBC9F.pf
15.01.2008 17:38 20.478 IAANOTIF.EXE-2255301C.pf
15.01.2008 17:38 53.790 USERINIT.EXE-30B18140.pf
15.01.2008 17:38 11.656 ALCMTR.EXE-235F9538.pf
15.01.2008 17:38 14.222 SKYTEL.EXE-12751D3A.pf
15.01.2008 17:31 20.886 DRWTSN32.EXE-2B4B52AC.pf
15.01.2008 17:31 28.446 DWWIN.EXE-30875ADC.pf
15.01.2008 17:19 29.304 VIDALIA.EXE-1D356F0B.pf
15.01.2008 15:35 25.062 PG2.EXE-100DE05D.pf
15.01.2008 15:35 52.154 NMIndexStoreSvr.exe-249DD3AC.pf
15.01.2008 15:35 55.394 SKYPE.EXE-21F19BC8.pf
01.01.2008 22:02 805.096 NTOSBOOT-B00DFAAD.pf
36 Datei(en) 2.584.216 Bytes
0 Verzeichnis(se), 90.008.584.192 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS

15.01.2008 19:13 41 Filzip.ini
15.01.2008 18:47 227 system.ini
15.01.2008 18:27 0 0.log
15.01.2008 18:27 159 wiadebug.log
15.01.2008 18:27 1.868.463 WindowsUpdate.log
15.01.2008 18:27 50 wiaservc.log
15.01.2008 18:26 2.048 bootstat.dat
15.01.2008 18:25 21.734 SchedLgU.Txt
15.01.2008 18:09 554.527 setupapi.log
15.01.2008 15:16 345 nsw.log
15.01.2008 14:32 111 What is the matrix.ini
15.01.2008 13:30 72 FSaver.ini
15.01.2008 13:27 601 win.ini
15.01.2008 09:11 91 AD_PREFS.INI
14.01.2008 22:13 659 WIN.AD3
14.01.2008 22:13 15.334 DYNAZIP.LOG
14.01.2008 22:13 242 SYSTEM.AD3
14.01.2008 22:13 242 SYSTEM.ZYX
14.01.2008 20:22 69 NeroDigital.ini
14.01.2008 15:20 33.495 spupdsvc.log
14.01.2008 15:18 2.318 KB923810.log
14.01.2008 15:18 30.196 KB936782.log
14.01.2008 15:18 17.147 wmsetup.log
14.01.2008 15:18 141.198 msxml6-KB933579-deu-x86.LOG
14.01.2008 15:17 13.345.044 msxml4-KB936181-deu.LOG
14.01.2008 15:17 2.444 KB939373.log
14.01.2008 15:17 2.320 KB926247.log
05.01.2008 19:25 245 NetSend.INI
04.01.2008 23:06 10 WININIT.INI
03.01.2008 19:26 4.340 COM+.log
03.01.2008 09:53 0 SF262CE45.tmp
02.01.2008 20:45 316.640 WMSysPr9.prx
02.01.2008 20:44 26.648 DirectX.log
02.01.2008 17:47 208.253 ntdtcsetup.log
02.01.2008 17:47 1.443.885 iis6.log
02.01.2008 17:47 65.848 tabletoc.log
02.01.2008 17:47 40.386 ocmsn.log
02.01.2008 17:47 1.355 imsins.log
02.01.2008 17:47 344.815 comsetup.log
02.01.2008 17:47 597.139 tsoc.log
02.01.2008 17:47 39.411 medctroc.Log
02.01.2008 17:47 647.903 ocgen.log
02.01.2008 17:47 226.966 netfxocm.log
02.01.2008 17:47 64.636 msgsocm.log
02.01.2008 17:47 1.290.098 FaxSetup.log
02.01.2008 17:47 402.210 msmqinst.log
02.01.2008 16:40 1.670 mozver.dat
01.01.2008 20:41 19.221 KB893803v2.log
01.01.2008 19:20 249.856 Setup1.exe
01.01.2008 19:20 73.216 ST6UNST.EXE
01.01.2008 18:21 1.355 imsins.BAK
01.01.2008 18:21 21.977 KB943460.log
01.01.2008 18:21 115.387 updspapi.log
01.01.2008 18:21 24.714 KB942615.log
01.01.2008 18:21 21.626 KB941569.log
01.01.2008 18:20 17.415 KB944653.log
01.01.2008 18:20 18.593 KB937894.log
01.01.2008 18:20 17.144 KB941568.log
01.01.2008 18:20 18.124 KB933729.log
01.01.2008 18:20 16.747 KB941202.log
01.01.2008 18:20 16.920 KB938127.log
01.01.2008 18:19 17.547 KB938829.log
01.01.2008 18:19 16.862 KB921503.log
01.01.2008 18:18 16.297 KB936021.log
01.01.2008 18:18 16.362 KB935839.log
01.01.2008 18:18 16.826 KB929123.log
01.01.2008 18:18 16.001 KB935840.log
01.01.2008 18:18 17.004 KB931784.log
01.01.2008 18:17 15.970 KB930178.log
01.01.2008 18:17 17.220 KB932168.log
01.01.2008 18:17 15.065 KB931261.log
01.01.2008 18:17 15.874 KB925902.log
01.01.2008 18:17 13.982 KB928843.log
01.01.2008 18:17 13.716 KB928255.log
01.01.2008 18:16 12.099 KB927802.log
01.01.2008 18:16 12.604 KB927779.log
01.01.2008 18:16 9.295 KB926436.log
01.01.2008 18:16 7.809 KB924667.log
01.01.2008 18:16 9.615 KB918118.log
01.01.2008 18:16 9.600 KB926255.log
01.01.2008 18:16 9.496 KB924270.log
01.01.2008 18:15 8.435 KB923980.log
01.01.2008 18:15 8.729 KB920213.log
01.01.2008 18:15 5.978 KB917537.log
01.01.2008 18:15 6.304 KB918439.log
01.01.2008 18:15 6.110 KB901190.log
01.01.2008 18:15 5.499 KB887472.log
01.01.2008 17:57 360 DtcInstall.log
01.01.2008 17:57 1.174 OEWABLog.txt
01.01.2008 17:57 1.204.774 setuplog.txt
01.01.2008 17:47 464.153 svcpack.log
01.01.2008 17:47 300.399 KB924496.log
01.01.2008 17:47 327.888 KB924191.log
01.01.2008 17:47 324.258 KB923414.log
01.01.2008 17:47 265.176 KB923191.log
01.01.2008 17:47 352.034 KB922819.log
01.01.2008 17:46 317.634 KB922616.log
01.01.2008 17:46 321.363 KB921883.log
01.01.2008 17:46 307.346 KB921398.log
01.01.2008 17:46 264.387 KB920685.log
01.01.2008 17:46 234.223 KB920683.log
01.01.2008 17:45 280.749 KB920670.log
01.01.2008 17:45 279.671 KB919007.log
01.01.2008 17:45 258.351 KB917953.log
01.01.2008 17:45 256.595 KB917422.log
01.01.2008 17:45 255.450 KB917344.log
01.01.2008 17:44 232.595 KB914389.log
01.01.2008 17:44 283.315 KB914388.log
01.01.2008 17:44 243.668 KB913580.log
01.01.2008 17:44 234.644 KB912919.log
01.01.2008 17:43 324.390 KB911927.log
01.01.2008 17:43 299.109 KB911562.log
01.01.2008 17:43 314.996 KB911280.log
01.01.2008 17:43 274.311 KB910437.log
01.01.2008 17:43 248.219 KB908531.log
01.01.2008 17:42 231.700 KB908519.log
01.01.2008 17:42 241.408 KB905749.log
01.01.2008 17:42 259.697 KB905414.log
01.01.2008 17:42 248.212 KB904706.log
01.01.2008 17:42 305.286 KB902400.log
01.01.2008 17:41 256.426 KB901214.log
01.01.2008 17:41 313.916 KB901017.log
01.01.2008 17:41 264.565 KB900725.log
01.01.2008 17:41 315.283 KB899591.log
01.01.2008 17:41 276.940 KB899589.log
01.01.2008 17:40 328.766 KB899587.log
01.01.2008 17:40 232.160 KB896428.log
01.01.2008 17:40 318.190 KB896424.log
01.01.2008 17:40 295.754 KB896423.log
01.01.2008 17:40 299.221 KB896358.log
01.01.2008 17:39 316.352 KB893756.log
01.01.2008 17:39 277.934 KB891781.log
01.01.2008 17:39 234.545 KB890859.log
01.01.2008 17:39 280.725 KB890046.log
01.01.2008 17:38 247.814 KB888302.log
01.01.2008 17:38 318.122 KB885836.log
01.01.2008 17:38 324.569 KB885835.log
01.01.2008 17:38 291.301 KB873339.log
01.01.2008 17:35 200 cmsetacl.log
01.01.2008 17:34 299.552 WMSysPrx.prx
01.01.2008 17:34 1.330 sessmgr.setup.log
01.01.2008 16:39 195.314 setupact.log
01.01.2008 16:33 16.437 KB842773.log
01.01.2008 16:33 13.980 KB898461.log
01.01.2008 16:23 1.330 xpsp1hfm.log
01.01.2008 16:23 115.128 KB835732.log
01.01.2008 16:21 83.469 KB914798.log
01.01.2008 16:20 73.999 KB925486-IE6SP1-20060918.120000.log
01.01.2008 16:20 74.165 KB918439-IE6SP1-20060530.145346.log
01.01.2008 16:19 100.075 KB905495.log
01.01.2008 16:19 80.952 KB911564.log
01.01.2008 16:17 42.023 KB917734.log
01.01.2008 16:16 62.678 KB892944.log
01.01.2008 16:15 30.690 KB918899-IE6SP1-20060725.123917.log
01.01.2008 16:15 26.085 KB911567-OE6SP1-20060316.165634.log
01.01.2008 16:14 42.385 KB835409.log
01.01.2008 16:13 1.024.083 setupapi.log.0.old
01.01.2008 12:53 0 nsreg.dat
01.01.2008 00:44 2.066 vminst.log
01.01.2008 00:41 16.061 WgaNotify.log
31.12.2007 22:41 7.789 KB892130.log
31.12.2007 21:08 42.414 DPINST.LOG
31.12.2007 14:18 712 SynInst.log
31.12.2007 14:16 836 Windows Update.log
31.12.2007 14:14 5.127 KB888111.log
31.12.2007 14:14 315.392 HideWin.exe
31.12.2007 14:11 70.156 ydi.log
30.12.2007 21:11 44 lgcenter.ini
30.12.2007 20:54 8.192 REGLOCS.OLD
30.12.2007 20:51 0 control.ini
30.12.2007 20:51 4.161 ODBCINST.INI
30.12.2007 20:50 749 WindowsShell.Manifest
30.12.2007 20:48 37 vbaddin.ini
30.12.2007 20:48 36 vb.ini
30.12.2007 20:44 0 Sti_Trace.log
30.12.2007 20:42 1.348 regopt.log
30.12.2007 20:41 0 setuperr.log
13.12.2007 19:09 972.072 UNNeroMediaHome.exe

Verzeichnis von C:\WINDOWS\tasks

15.01.2008 18:27 6 SA.DAT
14.01.2008 18:01 276 AppleSoftwareUpdate.job
01.01.2008 22:48 106 Low Battery Alarm Program.job
01.01.2008 22:48 106 Critical Battery Alarm Program.job
18.08.2001 14:00 65 desktop.ini
5 Datei(en) 559 Bytes
0 Verzeichnis(se), 90.008.571.904 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\DOKUME~1\nadia\LOKALE~1\Temp

15.01.2008 19:23 118.641 filelist.txt
1 Datei(en) 118.641 Bytes
0 Verzeichnis(se), 90.008.567.808 Bytes frei

spratelboing · 15.01.2008, 20:15

noch was, das evtl interessant sein könnte:

wenn ich NDIS service via registry auf automatisch stelle und neustarte, verbindet der wlan adapter ja ersteinmal.
starte ich dann firefox verliert er aber die verbindung.
allerdings wurde jetzt auf dem desktop eine IE verknüpfung zugefügt. definitiv nicht von mir, da ich den IE nicht benutze. und siehe da, mit ihm kommt man sogar ins netz. bin ich nur paranoid oder wartet da irgendein tool, das für den IE optimiert wurde, nur darauf, dass ich jetzt online banking oder ähnliches mache?

wie auch immer, habe die chance natürlich gleich ergriffen und mache einen online check mit kaspersky.

log file folgt.

anschließend werd ich noch Virtustotal (online), Vundofix und SmitfraudFix testen lassen. dann bin ich mit meinem latein aber am ende.
#

spratelboing · 15.01.2008, 21:52

also:

Kaspersky Log File:
==============

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 15. Januar 2008 20:33:09
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 15/01/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 478483
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\nadia\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 20226
Viren gefunden: 2
Infizierte Objekte gefunden: 4
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:18:19

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SF262CE45.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\down\4362109.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\drivers\down\4376859.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\drivers\hldrrr.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ia übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\mdelk.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Habe alle Dateien bis auf die h323log.txt manuell gelöscht. Diese konnte weder gelöscht noch umbenannt werden.

---------------------------------------------------------------------------

Danach habe ich den ursprünglichen Bösewicht entdeckt. Wie vermutet einer der Screensaver. virustotal.com hat ihn folgendermaßen identifiziert:
==========

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis |
Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά |
Français | Svenska | Português | Italiano | | | Magyar | Česky | Polski |
Español | English
Virustotal analysiert verdächtige Dateien und erleichtert die schnelle
Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware,
welche von den Antivirus-Engines festgestellt werden. Weitere
Informationen...
Datei TROJANER.exe empfangen 2008.01.15 21:14:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 16/32 (50%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir
warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange
(position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email
in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System
sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

AntivirusVersionletzte aktualisierungErgebnis
AhnLab-V32008.1.16.102008.01.15-
AntiVir7.6.0.482008.01.15-
Authentium4.93.82008.01.13-
Avast4.7.1098.02008.01.14-
AVG7.5.0.5162008.01.15Downloader.Generic6.AECO
BitDefender7.22008.01.15Trojan.Dropper.Bagle.SRH
CAT-QuickHeal9.002008.01.15Win32.Backdoor.Rbot.bmr
ClamAV0.91.22008.01.15PUA.Packed.Themida
DrWeb4.44.0.091702008.01.15Win32.HLLM.Beagle
eSafe7.0.15.02008.01.15-
eTrust-Vet31.3.54592008.01.15-
Ewido4.02008.01.15-
FileAdvisor12008.01.15-
Fortinet3.14.0.02008.01.15W32/Bagle.IA!tr.dldr
F-Prot4.4.2.542008.01.14-
F-Secure6.70.13030.02008.01.15Trojan-Downloader.Win32.Bagle.ia
IkarusT3.1.1.202008.01.15Backdoor.VB.EV
Kaspersky7.0.0.1252008.01.15Trojan-Downloader.Win32.Bagle.ia
McAfee52082008.01.15-
Microsoft1.31092008.01.15TrojanDownloader:Win32/Bagle.PU
NOD32v227932008.01.15Win32/Bagle.LV
Norman5.80.022008.01.15W32/Mitglied.AMR
Panda9.0.0.42008.01.15-
Prevx1V22008.01.15Backdoor.SdBot.gen
Rising20.27.12.002008.01.15-
Sophos4.24.02008.01.15-
Sunbelt2.2.907.02008.01.15VIPRE.Suspicious
Symantec102008.01.15-
TheHacker6.2.9.1872008.01.13W32/Behav-Heuristic-064
VBA323.12.2.52008.01.15-
VirusBuster4.3.26:92008.01.15-
Webwasher-Gateway6.6.22008.01.15Win32.Malware.gen (suspicious)
weitere Informationen
File size: 724165 bytes
MD5: 8306ce27f495a2d012df08f09722377c
SHA1: b26db16b6a04a8058399d6a1a5989751aa57cc30
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida
Prevx info:
http://info.prevx.com/aboutprogramtext.asp?PX5=F835EEB7C5AB2A4C0C9B0B615E00B10080C159B6
Sunbelt info: VIPRE.Suspicious is a generic detection for potential
threats that are deemed suspicious through heuristics.

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec
Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der
Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist
als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die
Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine
Erkennungsrate aller Viren und Malware zu 100% bietet. VirusTotal © Hispasec
Sistemas - Blog - Kontakt: info@virustotal.com

--------------------------------------------------------------------------

VundoFix hat dann nichts gefunden

--------------------------------------------------------------------------

SmitFraudFix lieferte folgenden report:
=========

SmitFraudFix v2.274

Scan done at 21:39:33,81, 15.01.2008
Run from C:\Dokumente und Einstellungen\nadia\Desktop\security\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5006X Wireless Network Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

spratelboing · 15.01.2008, 22:16

zu guter letzt noch der report von dss.exe:

Deckard's System Scanner v20071014.68
Run by nadia on 2008-01-15 21:54:25
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
301: 2008-01-15 20:54:34 UTC - RP301 - Deckard's System Scanner Restore Point
300: 2008-01-15 17:21:31 UTC - RP300 - ComboFix created restore point
299: 2008-01-15 17:06:16 UTC - RP299 - Sygate Personal Firewall Pro wird entfernt
298: 2008-01-15 17:04:39 UTC - RP298 - AntiVir PersonalEdition Classic - 15.01.2008 18:04
297: 2008-01-15 16:18:36 UTC - RP297 - Wiederherstellungsvorgang

-- First Restore Point --
1: 2007-12-30 20:06:34 UTC - RP1 - Systemprüfpunkt

Backed up registry hives.
Performed disk cleanup.

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-01-15 21:56:11
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\LG Software\Battery Miser\batterymiser.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Programme\LG Software\On Screen Display\HotKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.exe
C:\Programme\LG Software\Status Indicator\SITray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\nadia\Desktop\security\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [batterymiser] "C:\Programme\LG Software\Battery Miser\batterymiser.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [KeybdUtility] "C:\Programme\LG Software\On Screen Display\HotKey.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LGSI] "C:\Programme\LG Software\Status Indicator\SITray.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199136810406
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer = 192.168.1.1
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\system32\Ati2evxx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Programme\Nero\Nero8\Nero
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 8094 bytes

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 BTHidMgr (Bluetooth HID Manager Service) - c:\windows\system32\drivers\bthidmgr.sys <Not Verified; IVT Corporation; BlueSoleil(c)>
R1 VClone - c:\windows\system32\drivers\vclone.sys <Not Verified; Elaborate Bytes AG; Virtual CloneDrive>
R3 BlueletAudio (Bluetooth Audio Service) - c:\windows\system32\drivers\blueletaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 BlueletSCOAudio (Bluetooth SCO Audio Service) - c:\windows\system32\drivers\blueletscoaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 BT (Bluetooth PAN Network Adapter) - c:\windows\system32\drivers\btnetdrv.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 Btcsrusb (Bluetooth USB For Bluetooth Service) - c:\windows\system32\drivers\btcusb.sys <Not Verified; IVT Corporation; Bluetooth USB Device Driver>
R3 BTHidEnum (Bluetooth HID Enumerator) - c:\windows\system32\drivers\vbtenum.sys
R3 lgsnd_filter - c:\windows\system32\drivers\lgsnd_filter.sys
R3 pgfilter - c:\programme\peerguardian2\pgfilter.sys
R3 VComm (Virtual Serial port driver) - c:\windows\system32\drivers\vcomm.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 VcommMgr (Bluetooth VComm Manager Service) - c:\windows\system32\drivers\vcommmgr.sys <Not Verified; IVT Corporation; BlueSoleil>

S3 giveio - c:\windows\giveio.sys
S3 lgodd_filter - c:\windows\system32\drivers\lgodd_filter.sys (file missing)
S3 LGPCETH - c:\programme\lg software\status indicator\lgpceth.sys <Not Verified; Windows (R) Server 2003 DDK provider; Windows (R) Server 2003 DDK driver>
S3 LGPCNDIS - c:\programme\lg software\status indicator\lgpcndis.sys <Not Verified; Windows (R) Server 2003 DDK provider; Windows (R) Server 2003 DDK driver>

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 BlueSoleil Hid Service - c:\programme\ivt corporation\bluesoleil\btntservice.exe
R2 Nero BackItUp Scheduler 3 - c:\programme\nero\nero8\nero backitup\nbservice.exe

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Marvell Yukon 88E8039 PCI-E Fast Ethernet Controller
Device ID: PCI\VEN_11AB&DEV_4353&SUBSYS_01061854&REV_15\4&192AC53F&0&00E0
Manufacturer: Marvell
Name: Marvell Yukon 88E8039 PCI-E Fast Ethernet Controller
PNP Device ID: PCI\VEN_11AB&DEV_4353&SUBSYS_01061854&REV_15\4&192AC53F&0&00E0
Service: yukonwxp

-- Scheduled Tasks -------------------------------------------------------------

2008-01-14 18:01:43 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2008-01-01 22:48:23 106 --a------ C:\WINDOWS\Tasks\Low Battery Alarm Program.job
2008-01-01 22:48:23 106 --a------ C:\WINDOWS\Tasks\Critical Battery Alarm Program.job

-- Files created between 2007-12-15 and 2008-01-15 -----------------------------

2008-01-15 21:39:37 3598 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-15 21:38:52 25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-15 21:38:52 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-01-15 21:38:52 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-01-15 21:38:52 53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-01-15 21:38:52 81920 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-01-15 21:38:52 51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-15 21:09:37 0 d-------- C:\VundoFix Backups
2008-01-15 19:58:24 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-15 19:58:23 0 d-------- C:\WINDOWS\LastGood
2008-01-15 15:24:20 0 d-------- C:\WINDOWS\system32\NtmsData
2008-01-15 13:40:01 0 d-------- C:\WINDOWS\system32\drivers\down
2008-01-15 13:31:52 0 d-------- C:\Program
2008-01-14 22:32:05 0 d-------- C:\WINDOWS\system32\The Simpsons Movie dir
2008-01-14 22:13:28 30681 --a------ C:\WINDOWS\SPALETTE.DLL
2008-01-14 22:13:28 30736 --a------ C:\WINDOWS\AD_RSRC.DLL
2008-01-14 18:01:56 0 d-------- C:\Programme\QuickTime
2008-01-14 18:01:40 0 d-------- C:\Programme\Apple Software Update
2008-01-14 17:37:57 0 d-------- C:\Programme\The Weather Channel FW
2008-01-14 17:36:19 0 d-------- C:\Programme\Trillian
2008-01-14 14:27:56 0 d-------- C:\Programme\Cain
2008-01-14 14:27:17 0 d-------- C:\Programme\Nsasoft
2008-01-14 14:26:49 0 d-------- C:\Programme\WinPcap
2008-01-14 14:26:35 0 d-------- C:\Programme\Nmap
2008-01-12 10:32:06 0 d-------- C:\Programme\Microsoft SQL Server
2008-01-12 10:29:06 102400 --a------ C:\WINDOWS\system32\pywintypes25.dll <Not Verified; ; PyWin32>
2008-01-12 10:29:06 327680 --a------ C:\WINDOWS\system32\pythoncom25.dll <Not Verified; ; PyWin32>
2008-01-12 10:28:34 0 d-------- C:\Python25
2008-01-12 10:23:30 0 d-------- C:\CSTEMP
2008-01-12 10:00:41 147456 --a------ C:\WINDOWS\system32\WMIMPLEX.dll
2008-01-12 10:00:41 36864 --a------ C:\WINDOWS\system32\maplec.dll
2008-01-12 10:00:41 0 d-------- C:\watcom-1.3
2008-01-12 10:00:04 0 d--h----- C:\Programme\Zero G Registry
2008-01-12 10:00:04 0 d-------- C:\Programme\Maple 11
2008-01-05 15:41:27 0 d-------- C:\Programme\NetSend 1.0
2008-01-04 23:20:18 593920 -----n--- C:\WINDOWS\system32\ati2sgag.exe <Not Verified; ; ATI Smart>
2008-01-04 14:16:41 0 d-------- C:\WINDOWS\Sun
2008-01-03 21:02:06 0 d-------- C:\Programme\i2p
2008-01-03 20:55:29 0 d-------- C:\Programme\Java
2008-01-03 20:55:06 0 d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-03 19:13:51 0 d-------- C:\Programme\Microsoft Works
2008-01-03 19:10:45 0 d-------- C:\Programme\Microsoft Visual Studio 8
2008-01-03 19:09:59 0 d-------- C:\WINDOWS\SHELLNEW
2008-01-03 19:09:17 0 dr-h----- C:\MSOCache
2008-01-03 18:30:06 0 d-------- C:\Programme\xp-AntiSpy
2008-01-03 18:06:30 0 d-------- C:\Programme\PeerGuardian2
2008-01-03 17:42:36 0 d-------- C:\Programme\emule xtreme
2008-01-03 09:53:11 0 d-------- C:\Programme\Elaborate Bytes
2008-01-03 09:35:03 0 d-------- C:\Programme\CambridgeSoft
2008-01-03 09:33:06 0 d-------- C:\WINDOWS\system32\URTTEMP
2008-01-02 20:46:04 0 d-------- C:\Programme\Nero
2008-01-02 20:46:04 0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-01-02 20:45:24 0 d-------- C:\WINDOWS\RegisteredPackages
2008-01-02 20:39:23 0 d-------- C:\Programme\MestRe-C
2008-01-02 20:35:16 0 d-------- C:\Programme\AVI MPEG ASF WMV Splitter
2008-01-02 20:10:15 147456 --a------ C:\WINDOWS\VMCap.exe <Not Verified; VM; >
2008-01-02 20:10:15 40960 --a------ C:\WINDOWS\Vm_sti.exe <Not Verified; VM.; >
2008-01-02 20:10:14 307200 --a------ C:\WINDOWS\vidcap32.Exe <Not Verified; Microsoft Corporation; Microsoft Windows>
2008-01-02 20:10:14 61440 --a------ C:\WINDOWS\system32\VM31bSTI.dll <Not Verified; VM; >
2008-01-02 20:10:14 93450 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys <Not Verified; VM; >
2008-01-02 20:10:14 53248 --a------ C:\WINDOWS\StillCap.exe <Not Verified; VM; >
2008-01-02 20:10:14 0 d-------- C:\WINDOWS\CatRoot
2008-01-02 20:10:14 49152 --a------ C:\WINDOWS\amcap.exe
2008-01-02 20:10:14 0 d-------- C:\Programme\Vimicro
2008-01-02 20:07:32 0 d-------- C:\Programme\Astonsoft
2008-01-02 17:50:19 0 d-------- C:\Programme\MSBuild
2008-01-02 17:50:15 0 d-------- C:\WINDOWS\system32\XPSViewer
2008-01-02 17:50:09 0 d-------- C:\Programme\Reference Assemblies
2008-01-02 17:32:58 0 d-------- C:\Programme\OriginLab
2008-01-02 16:43:25 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-01-02 15:23:04 0 d-------- C:\Programme\Filzip
2008-01-02 15:13:09 0 d-------- C:\WINDOWS\Downloaded Installations
2008-01-02 15:01:11 0 d-------- C:\Uni Zeug
2008-01-02 13:49:45 1670 --a------ C:\WINDOWS\mozver.dat
2008-01-02 13:48:00 0 d-------- C:\Programme\uTorrent
2008-01-02 13:35:28 0 d-------- C:\Programme\Vidalia Bundle
2008-01-02 13:19:17 0 d-------- C:\Programme\OpenOffice.org 2.3
2008-01-01 22:28:42 0 d-------- C:\Programme\Skype
2008-01-01 22:28:42 0 d-------- C:\Programme\Gemeinsame

Brauche Hilfe gegen Win32.Trojan-PSW.Lineage

Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe gegen Win32.Trojan-PSW.Lineage