Brauche Hilfe gegen Win32.Trojan-PSW.Lineage

spratelboing · 15.01.2008, 18:52

So, hallo miteinander. Mein erstes posting hier.

Bitte, bitte gibt euch die Mühe und liest es durch. Ich hab echt kein Plan was ich tun soll!!

Folgendes, habe ein paar Screensaver aus dem Netz bei mir installiert. Aktualisierter Avira Antivir hat mir bei den Installationsdateien nichts gemeldet. Jetzt ist die ***** am dampfen hier.

Aber erstmal zu den System Details:
Der infizierte Rechner ist ein R400 Notebook von LG mit Windows XP SP2.

1.Also, folgende Dinge konnte ich nach Infizierung beobachten:
Internet ging nicht mehr (hing zuvor über wlan am router). Als ich der Sache auf den Grund gehen wollte fiel mir auf, dass der service "konfigurationsfreihe drahtlose Verbindung" nicht gestartet werden konnte. Grund dafür ist, dass der service "NDIS-Benutzermodus-E/A-Protokoll" deaktiviert udn außerdem auch nicht mehr in der Systemsteuerung -> Verwaltung -> Dienste zu finden ist.
Daraufhin hab ich ihn in der registry auf 'automatisch starten' gesetzt, was jedoch ohne einen Neustart keine Änderung mit sich bringt. Nach nem Neustart verbindet der wlan adapter tatsächlich wieder, aber so bald ich den browser (Mozilla) starte, springt oben genannter registry eintrag des NDIS-service wieder auf deaktiviert und der adapter verliert die Verbindung zum router.

2.Anschließend fiel mir auf, dass Sygate FW, Avira Antivir und Spybot deinstalliert wurden (oder zumindest deren ausführbaren Dateien gelöscht)! Krass, und bei AdAware 2007 waren die automatischen updates deaktiviert. Aber wenigstens lief das noch. Ich habe also damit einen full system scan durchgeführt und den trojaner "Win32.Trojan-PSW.Lineage" gefunden und in Quarantäne verschoben. Ein erneuter scan nach einem Neustart fand nix mehr.

3.Da ich den wlan adapter nicht wieder hingekriegt habe und sich obiger registry eintrag immer verstellt, dachte ich, dass wohl noch was schädliches auf dem Rechner ist. Daraufhin wollte ich mit nem anderen PC diverse Antiviren Software runterladen um sie dann auf dem infizierten auszuführen. Hmm, hier gibts ein weiteres Problem:
Sowohl spybot, als auch antivir, konnte ich nicht neu installieren. Und das obwohl ich beides vorher in der Systemsteuerung -> Software deinstalliert habe (gefolgt von einem Neustart).

4.Daraufhin hab ich mir in diesem Forum ComboFix und filelist.zip runter geladen und lasse diese gerade laufen. Die log files poste gleich.

Jemand schon eine Idee ob der trojaner tatsächlich das problem ist?

Vielen Dank schonmal und sorry nochmal, dass es so viel Text geworden ist.

spratelboing · 15.01.2008, 19:32

Ok, was ich vorher noch vergessen habe:

Bevor ich versucht habe Antivir und spybot wieder zu installieren wollte ich einen früheren System Wiederherstellungspunkt, äh "wiederherstellen", aber das hat auch nicht funktioniert. Hab's mit mehreren Wiederherstellungspunkten versucht.

Glaube, das sagt auch das log file von ComboFix, das nun folgen wird:

ComboFix 08-01-15.4 - nadia 2008-01-15 18:46:53.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1500 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\nadia\Desktop\security\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-15 18:21 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 15:24 . 2008-01-15 15:24 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-15 13:43 . 2008-01-15 13:43 <DIR> d-------- C:\Programme\Kryptile ScreenSavers
2008-01-15 13:41 . 2006-10-14 06:01 724,165 --------- C:\WINDOWS\system32\drivers\hldrrr.exe
2008-01-15 13:41 . 2008-01-15 13:41 70,660 --a------ C:\WINDOWS\system32\mdelk.exe
2008-01-15 13:40 . 2008-01-15 13:48 <DIR> d-------- C:\WINDOWS\system32\drivers\down
2008-01-15 13:32 . 2008-01-15 14:46 <DIR> d-------- C:\Programme\EarthView
2008-01-15 13:31 . 2008-01-15 14:45 <DIR> d-------- C:\Program
2008-01-15 13:30 . 2008-01-15 13:30 <DIR> d-------- C:\Programme\What is the matrix
2008-01-15 13:30 . 2002-08-15 10:37 643,072 --a------ C:\WINDOWS\What is the matrix.scr
2008-01-15 13:30 . 2008-01-15 14:32 111 --a------ C:\WINDOWS\What is the matrix.ini
2008-01-15 13:30 . 2008-01-15 13:30 72 --a------ C:\WINDOWS\FSaver.ini
2008-01-15 13:28 . 2008-01-15 13:28 <DIR> d-------- C:\Programme\Auskalo Interactive
2008-01-15 13:28 . 2008-01-15 14:45 <DIR> d-------- C:\Programme\3D Butterfly
2008-01-15 13:28 . 2008-01-15 13:28 537,294 --a------ C:\WINDOWS\system32\Kukuxumusu ANTfermin.scr
2008-01-15 13:27 . 2008-01-15 13:27 <DIR> d-------- C:\Programme\Dolphin Aqua Life 3D
2008-01-15 13:26 . 2008-01-15 13:26 4,806,504 --a------ C:\WINDOWS\system32\Earth from Above2.mpf
2008-01-15 13:26 . 2008-01-15 13:26 524,800 --a------ C:\WINDOWS\system32\Earth from Above2.scr
2008-01-15 13:25 . 2008-01-15 14:47 <DIR> d-------- C:\Programme\GlobFX Technologies
2008-01-14 22:32 . 2008-01-15 14:47 <DIR> d-------- C:\WINDOWS\system32\The Simpsons Movie dir
2008-01-14 22:15 . 2008-01-15 09:11 91 --a------ C:\WINDOWS\AD_PREFS.INI
2008-01-14 22:13 . 2008-01-14 22:13 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\WINDOWS
2008-01-14 22:13 . 1994-08-02 03:01 30,736 --a------ C:\WINDOWS\AD_RSRC.DLL
2008-01-14 22:13 . 1994-08-02 03:01 30,681 --a------ C:\WINDOWS\SPALETTE.DLL
2008-01-14 22:13 . 1994-08-02 03:01 4,784 --a------ C:\WINDOWS\system\SPMME.DRV
2008-01-14 22:13 . 2008-01-14 22:13 659 --a------ C:\WINDOWS\WIN.AD3
2008-01-14 22:11 . 2008-01-14 22:13 242 --a------ C:\WINDOWS\SYSTEM.ZYX
2008-01-14 22:11 . 2008-01-14 22:13 242 --a------ C:\WINDOWS\SYSTEM.AD3
2008-01-14 18:01 . 2008-01-14 18:02 <DIR> d-------- C:\Programme\QuickTime
2008-01-14 18:01 . 2008-01-14 18:01 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-14 18:01 . 2008-01-14 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-14 18:01 . 2008-01-14 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-14 17:37 . 2008-01-14 17:56 <DIR> d-------- C:\Programme\The Weather Channel FW
2008-01-14 17:36 . 2008-01-15 14:50 <DIR> d-------- C:\Programme\Trillian
2008-01-14 14:27 . 2008-01-14 14:56 <DIR> d-------- C:\Programme\Nsasoft
2008-01-14 14:27 . 2008-01-14 14:46 <DIR> d-------- C:\Programme\Cain
2008-01-14 14:26 . 2008-01-14 14:35 <DIR> d-------- C:\Programme\WinPcap
2008-01-14 14:26 . 2008-01-14 14:26 <DIR> d-------- C:\Programme\Nmap
2008-01-14 12:57 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-12 11:53 . 2008-01-12 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\GibbHill Properties Ltd
2008-01-12 11:33 . 2008-01-12 11:33 41 --a------ C:\WINDOWS\system32\Filzip.ini
2008-01-12 10:32 . 2008-01-12 10:36 <DIR> d-------- C:\Programme\Microsoft SQL Server
2008-01-12 10:29 . 2006-09-23 02:30 327,680 --a------ C:\WINDOWS\system32\pythoncom25.dll
2008-01-12 10:29 . 2006-09-23 02:18 102,400 --a------ C:\WINDOWS\system32\pywintypes25.dll
2008-01-12 10:28 . 2008-01-12 10:29 <DIR> d-------- C:\Python25
2008-01-12 10:27 . 2008-01-12 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CambridgeSoft
2008-01-12 10:23 . 2008-01-12 10:24 <DIR> d-------- C:\CSTEMP
2008-01-12 10:00 . 2008-01-12 10:16 <DIR> d-------- C:\watcom-1.3
2008-01-12 10:00 . 2008-01-12 10:00 <DIR> d--h----- C:\Programme\Zero G Registry
2008-01-12 10:00 . 2008-01-12 10:16 <DIR> d-------- C:\Programme\Maple 11
2008-01-12 10:00 . 2008-01-12 10:00 147,456 --a------ C:\WINDOWS\system32\WMIMPLEX.dll
2008-01-12 10:00 . 2008-01-12 10:00 36,864 --a------ C:\WINDOWS\system32\maplec.dll
2008-01-12 09:59 . 2008-01-12 09:59 <DIR> d--h----- C:\Dokumente und Einstellungen\nadia\InstallAnywhere
2008-01-06 10:25 . 2008-01-06 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Nero
2008-01-06 10:25 . 2008-01-06 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ATI
2008-01-06 10:24 . 2007-12-30 20:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-01-06 10:24 . 2007-12-30 20:42 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmenü
2008-01-06 10:24 . 2007-12-30 20:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-01-06 10:24 . 2008-01-15 18:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-01-06 10:24 . 2008-01-06 10:25 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2008-01-06 10:24 . 2008-01-06 10:25 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-01-06 10:24 . 2007-12-30 20:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-01-06 10:24 . 2008-01-06 10:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-01-05 15:45 . 2008-01-05 19:25 245 --a------ C:\WINDOWS\NetSend.INI
2008-01-05 15:41 . 2008-01-05 15:42 <DIR> d-------- C:\Programme\NetSend 1.0
2008-01-04 23:24 . 2008-01-04 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\ATI
2008-01-04 23:24 . 2008-01-04 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-01-04 23:20 . 2007-12-05 14:17 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-01-04 14:16 . 2008-01-04 14:16 <DIR> d-------- C:\WINDOWS\Sun
2008-01-03 21:02 . 2008-01-03 21:45 <DIR> d-------- C:\Programme\i2p
2008-01-03 20:55 . 2008-01-03 20:55 <DIR> d-------- C:\Programme\Java
2008-01-03 20:55 . 2008-01-03 20:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-03 20:55 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-03 19:13 . 2008-01-03 19:13 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-03 19:10 . 2008-01-03 19:10 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2008-01-03 19:09 . 2008-01-03 19:13 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-01-03 19:09 . 2008-01-03 19:09 <DIR> dr-h----- C:\MSOCache
2008-01-03 18:30 . 2008-01-03 18:30 <DIR> d-------- C:\Programme\xp-AntiSpy
2008-01-03 18:06 . 2008-01-15 18:30 <DIR> d-------- C:\Programme\PeerGuardian2
2008-01-03 17:42 . 2008-01-15 13:37 <DIR> d-------- C:\Programme\emule xtreme
2008-01-03 09:53 . 2008-01-03 09:53 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-01-03 09:53 . 2008-01-03 09:53 0 ---hs---- C:\WINDOWS\SF262CE45.tmp
2008-01-03 09:35 . 2008-01-12 10:24 <DIR> d-------- C:\Programme\CambridgeSoft
2008-01-03 09:33 . 2008-01-03 09:33 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-01-02 21:23 . 2008-01-02 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\vlc
2008-01-02 21:20 . 2008-01-14 20:22 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-02 21:15 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-01-02 21:13 . 2008-01-03 19:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-02 20:47 . 2008-01-02 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Nero
2008-01-02 20:46 . 2008-01-02 20:46 <DIR> d-------- C:\Programme\Nero
2008-01-02 20:46 . 2008-01-02 20:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-01-02 20:46 . 2008-01-02 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-02 20:39 . 2008-01-12 11:30 <DIR> d-------- C:\Programme\MestRe-C
2008-01-02 20:35 . 2008-01-02 20:35 <DIR> d-------- C:\Programme\AVI MPEG ASF WMV Splitter
2008-01-02 20:10 . 2008-01-03 19:23 <DIR> d-------- C:\WINDOWS\CatRoot
2008-01-02 20:10 . 2008-01-02 20:10 <DIR> d-------- C:\Programme\Vimicro
2008-01-02 20:10 . 2000-10-31 00:00 307,200 --a------ C:\WINDOWS\vidcap32.Exe
2008-01-02 20:10 . 2002-11-01 17:50 147,527 --a------ C:\WINDOWS\system32\VM31bPrp.Ax
2008-01-02 20:10 . 2002-08-22 16:34 147,456 --a------ C:\WINDOWS\VMCap.exe
2008-01-02 20:10 . 2002-11-01 17:43 93,450 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-04 22:06 --------- d-----w C:\Programme\ATI Technologies
2008-01-03 17:41 359,808 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-01-02 19:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-31 13:10 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-30 20:16 --------- d-----w C:\Programme\DIFX
2007-12-30 20:15 --------- d-----w C:\Programme\Atheros
2007-12-30 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2007-12-30 20:13 --------- d-----w C:\Programme\ATI
2007-12-30 19:52 --------- d-----w C:\Programme\microsoft frontpage
2007-12-30 19:51 558,142 ----a-w C:\WINDOWS\java\Packages\7JXF5BLB.ZIP
2007-12-30 19:51 155,995 ----a-w C:\WINDOWS\java\Packages\KN5J3BXZ.ZIP
2007-12-30 19:50 --------- d-----w C:\Programme\Online-Dienste
2007-12-30 19:49 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-30 19:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-30 19:42 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-30 19:42 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-20 07:10 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-12-20 07:10 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-12-13 18:09 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-12-05 05:26 2,782,208 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-12-05 03:05 368,640 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-12-05 03:04 269,312 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-12-05 02:56 147,456 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-12-05 02:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-12-05 02:55 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-12-05 02:54 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-12-05 02:53 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-12-05 02:53 495,616 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-12-05 02:48 9,535,488 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-12-05 02:48 6,217,728 ----a-w C:\WINDOWS\system32\Atioglgl.dll
2007-12-05 02:44 3,175,584 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-12-05 02:33 1,640,192 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-12-05 02:19 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-12-05 02:19 385,024 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-12-05 02:17 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-12-05 02:16 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-12-05 02:14 180,224 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-12-05 02:11 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-12-04 08:59 972,072 ----a-w C:\WINDOWS\UNRecode.exe
2007-12-03 17:04 95,600 ----a-w C:\WINDOWS\system32\NeroCo.dll
2007-11-21 16:31 132,904 ----a-w C:\WINDOWS\system32\drivers\imagesrv.sys
2007-11-21 16:31 11,304 ----a-w C:\WINDOWS\system32\drivers\imagedrv.sys
2007-11-06 20:23 240,248 ----a-w C:\WINDOWS\system32\wpcap.dll
2007-11-06 20:22 88,696 ----a-w C:\WINDOWS\system32\Packet.dll
2007-11-06 20:22 68,224 ----a-w C:\WINDOWS\system32\WanPacket.dll
2007-11-06 20:19 53,299 ----a-w C:\WINDOWS\system32\pthreadVC.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-24 00:47 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2007-10-24 00:47 84,480 ----a-w C:\WINDOWS\system32\mscories.dll
2007-10-24 00:47 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2007-10-24 00:47 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-10-14 06:01 724165]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-07 15:08 21686568]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-08-26 07:02 11852288]
"german.exe"="C:\WINDOWS\system32\wintems.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"batterymiser"="C:\Programme\LG Software\Battery Miser\batterymiser.exe" [2007-02-23 08:33 327680]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 13:37 174872]
"KeybdUtility"="C:\Programme\LG Software\On Screen Display\HotKey.exe" [2007-03-12 11:01 2691072]
"SkyTel"="SkyTel.EXE" [2007-04-20 11:01 2879488 C:\WINDOWS\SkyTel.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2007-04-20 11:05 89541 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-20 11:01 16125440 C:\WINDOWS\RTHDCPL.exe]
"LGSI"="C:\Programme\LG Software\Status Indicator\SITray.exe" [2006-07-10 10:04 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-20 11:00 815104]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 14:21 94208]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-10-14 06:01 724165]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\nadia\Startmen\Programme\Autostart\
Trillian.lnk - C:\Programme\Trillian\trillian.exe [2007-12-11]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Privoxy.lnk - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 15:30:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"= C:\WINDOWS\System32\bmpsap.dll [2007-02-23 08:32 114688]

SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

R2 MSSQL$CSSQL05;SQL Server (CSSQL05);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" [2007-02-10 09:29]
R2 SQLWriter;SQL Server VSS Writer;"C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 05:29]
R3 lgsnd_filter;lgsnd_filter;C:\WINDOWS\system32\drivers\lgsnd_filter.sys [2005-12-14 21:30]
S3 lgodd_filter;lgodd_filter;C:\WINDOWS\system32\drivers\lgodd_filter.sys []
S3 LGPCETH;LGPCETH;C:\Programme\LG Software\Status Indicator\LGPCETH.sys [2006-06-22 11:30]
S3 LGPCNDIS;LGPCNDIS;C:\Programme\LG Software\Status Indicator\LGPCNDIS.sys [2006-06-22 11:30]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 21:22]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-14 17:01:43 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-01 21:48:23 C:\WINDOWS\Tasks\Critical Battery Alarm Program.job"
"2008-01-01 21:48:23 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 18:47:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 18:48:23
ComboFix-quarantined-files.txt 2008-01-15 17:48:09
ComboFix2.txt 2008-01-15 17:31:12
.
2008-01-01 15:33:09 --- E O F ---

spratelboing · 15.01.2008, 19:33

und anschließend noch die filelist.txt:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\

15.01.2008 18:48 18.962 ComboFix.txt
15.01.2008 18:26 2.145.505.280 hiberfil.sys
15.01.2008 18:26 2.145.386.496 pagefile.sys
15.01.2008 08:36 75 Neu Textdokument.txt
14.01.2008 22:13 1 AUTOEXEC.BAT
14.01.2008 22:13 0 CONFIG.SYS
01.01.2008 17:35 211 boot.ini
01.01.2008 17:32 47.564 NTDETECT.COM
01.01.2008 17:32 251.184 ntldr
30.12.2007 20:51 0 MSDOS.SYS
30.12.2007 20:51 0 IO.SYS

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS\system32

15.01.2008 13:41 5.304 ban_list.txt
15.01.2008 13:41 70.660 mdelk.exe
15.01.2008 13:36 1.760 worldmap.log
15.01.2008 13:28 537.294 Kukuxumusu ANTfermin.scr
15.01.2008 13:26 4.806.504 Earth from Above2.mpf
15.01.2008 13:26 524.800 Earth from Above2.scr
12.01.2008 11:33 41 Filzip.ini
12.01.2008 10:36 568.478 perfh009.dat
12.01.2008 10:36 107.314 perfc009.dat
12.01.2008 10:36 594.268 perfh007.dat
12.01.2008 10:36 124.604 perfc007.dat
12.01.2008 10:36 1.284.866 PerfStringBackup.INI
12.01.2008 10:08 360.936 FNTCACHE.DAT
12.01.2008 10:00 36.864 maplec.dll
12.01.2008 10:00 147.456 WMIMPLEX.dll
12.01.2008 09:19 1.230 wpa.dbl
03.01.2008 20:55 5.686 jupdate-1.6.0_03-b05.log
02.01.2008 21:11 188 MsiExec.exe.log
01.01.2008 17:57 255 spupdwxp.log
31.12.2007 14:22 146.650 BuzzingBee.wav
31.12.2007 14:22 940.794 LoopyMusic.wav
30.12.2007 21:08 552 d3d8caps.dat
30.12.2007 21:06 25.065 wmpscheme.xml
30.12.2007 20:53 2.084 $winnt$.inf
30.12.2007 20:51 2.951 CONFIG.NT
30.12.2007 20:51 16.832 amcompat.tlb
30.12.2007 20:51 23.392 nscompat.tlb
30.12.2007 20:50 488 WindowsLogon.manifest
30.12.2007 20:50 488 logonui.exe.manifest
30.12.2007 20:50 749 ncpa.cpl.manifest
30.12.2007 20:50 749 sapi.cpl.manifest
30.12.2007 20:50 749 wuaucpl.cpl.manifest
30.12.2007 20:50 749 nwc.cpl.manifest
30.12.2007 20:50 749 cdplayer.exe.manifest
30.12.2007 20:48 21.740 emptyregdb.dat
30.12.2007 20:47 0 h323log.txt
20.12.2007 08:10 348.160 msvcr71.dll
20.12.2007 08:10 499.712 msvcp71.dll
11.12.2007 10:57 65.536 QuickTimeVR.qtx
11.12.2007 10:57 49.152 QuickTime.qts

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS\Prefetch

15.01.2008 19:23 12.088 CMD.EXE-087B4001.pf
15.01.2008 19:23 11.128 FIND.EXE-0EC32F1E.pf
15.01.2008 19:20 49.424 FILZIP.EXE-01E25715.pf
15.01.2008 19:20 14.778 VERCLSID.EXE-3667BD89.pf
15.01.2008 19:13 32.612 RUNDLL32.EXE-39EAFF3E.pf
15.01.2008 19:12 16.780 NOTEPAD.EXE-336351A9.pf
15.01.2008 19:01 323.216 Layout.ini
15.01.2008 18:47 87.224 REGEDIT.EXE-1B606482.pf
15.01.2008 18:47 19.850 IMAPI.EXE-0BF740A4.pf
15.01.2008 18:47 87.570 WMIPRVSE.EXE-28F301A9.pf
15.01.2008 18:46 113.142 EXPLORER.EXE-082F38A9.pf
15.01.2008 18:29 83.696 SKYPEPM.EXE-03F1BFBD.pf
15.01.2008 18:29 61.288 TOR.EXE-2C8A76BE.pf
15.01.2008 18:29 14.162 CTFMON.EXE-0E17969B.pf
15.01.2008 18:24 56.770 LOGONUI.EXE-0AF22957.pf
15.01.2008 18:20 20.168 TASKMGR.EXE-20256C55.pf
15.01.2008 18:07 74.980 RUNDLL32.EXE-13404D23.pf
15.01.2008 18:06 73.304 MSIEXEC.EXE-2F8A8CAE.pf
15.01.2008 17:45 112.822 FIREFOX.EXE-1D57670A.pf
15.01.2008 17:38 66.736 TRILLIAN.EXE-302642F0.pf
15.01.2008 17:38 19.508 PRIVOXY.EXE-2BF26DF6.pf
15.01.2008 17:38 30.634 NMINDEXINGSERVICE.EXE-1C758E9B.pf
15.01.2008 17:38 12.212 HOTKEY.EXE-2C376943.pf
15.01.2008 17:38 10.804 AGRSMMSG.EXE-0034A7F7.pf
15.01.2008 17:38 62.832 BATTERYMISER.EXE-2ADBBC9F.pf
15.01.2008 17:38 20.478 IAANOTIF.EXE-2255301C.pf
15.01.2008 17:38 53.790 USERINIT.EXE-30B18140.pf
15.01.2008 17:38 11.656 ALCMTR.EXE-235F9538.pf
15.01.2008 17:38 14.222 SKYTEL.EXE-12751D3A.pf
15.01.2008 17:31 20.886 DRWTSN32.EXE-2B4B52AC.pf
15.01.2008 17:31 28.446 DWWIN.EXE-30875ADC.pf
15.01.2008 17:19 29.304 VIDALIA.EXE-1D356F0B.pf
15.01.2008 15:35 25.062 PG2.EXE-100DE05D.pf
15.01.2008 15:35 52.154 NMIndexStoreSvr.exe-249DD3AC.pf
15.01.2008 15:35 55.394 SKYPE.EXE-21F19BC8.pf
01.01.2008 22:02 805.096 NTOSBOOT-B00DFAAD.pf
36 Datei(en) 2.584.216 Bytes
0 Verzeichnis(se), 90.008.584.192 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS

15.01.2008 19:13 41 Filzip.ini
15.01.2008 18:47 227 system.ini
15.01.2008 18:27 0 0.log
15.01.2008 18:27 159 wiadebug.log
15.01.2008 18:27 1.868.463 WindowsUpdate.log
15.01.2008 18:27 50 wiaservc.log
15.01.2008 18:26 2.048 bootstat.dat
15.01.2008 18:25 21.734 SchedLgU.Txt
15.01.2008 18:09 554.527 setupapi.log
15.01.2008 15:16 345 nsw.log
15.01.2008 14:32 111 What is the matrix.ini
15.01.2008 13:30 72 FSaver.ini
15.01.2008 13:27 601 win.ini
15.01.2008 09:11 91 AD_PREFS.INI
14.01.2008 22:13 659 WIN.AD3
14.01.2008 22:13 15.334 DYNAZIP.LOG
14.01.2008 22:13 242 SYSTEM.AD3
14.01.2008 22:13 242 SYSTEM.ZYX
14.01.2008 20:22 69 NeroDigital.ini
14.01.2008 15:20 33.495 spupdsvc.log
14.01.2008 15:18 2.318 KB923810.log
14.01.2008 15:18 30.196 KB936782.log
14.01.2008 15:18 17.147 wmsetup.log
14.01.2008 15:18 141.198 msxml6-KB933579-deu-x86.LOG
14.01.2008 15:17 13.345.044 msxml4-KB936181-deu.LOG
14.01.2008 15:17 2.444 KB939373.log
14.01.2008 15:17 2.320 KB926247.log
05.01.2008 19:25 245 NetSend.INI
04.01.2008 23:06 10 WININIT.INI
03.01.2008 19:26 4.340 COM+.log
03.01.2008 09:53 0 SF262CE45.tmp
02.01.2008 20:45 316.640 WMSysPr9.prx
02.01.2008 20:44 26.648 DirectX.log
02.01.2008 17:47 208.253 ntdtcsetup.log
02.01.2008 17:47 1.443.885 iis6.log
02.01.2008 17:47 65.848 tabletoc.log
02.01.2008 17:47 40.386 ocmsn.log
02.01.2008 17:47 1.355 imsins.log
02.01.2008 17:47 344.815 comsetup.log
02.01.2008 17:47 597.139 tsoc.log
02.01.2008 17:47 39.411 medctroc.Log
02.01.2008 17:47 647.903 ocgen.log
02.01.2008 17:47 226.966 netfxocm.log
02.01.2008 17:47 64.636 msgsocm.log
02.01.2008 17:47 1.290.098 FaxSetup.log
02.01.2008 17:47 402.210 msmqinst.log
02.01.2008 16:40 1.670 mozver.dat
01.01.2008 20:41 19.221 KB893803v2.log
01.01.2008 19:20 249.856 Setup1.exe
01.01.2008 19:20 73.216 ST6UNST.EXE
01.01.2008 18:21 1.355 imsins.BAK
01.01.2008 18:21 21.977 KB943460.log
01.01.2008 18:21 115.387 updspapi.log
01.01.2008 18:21 24.714 KB942615.log
01.01.2008 18:21 21.626 KB941569.log
01.01.2008 18:20 17.415 KB944653.log
01.01.2008 18:20 18.593 KB937894.log
01.01.2008 18:20 17.144 KB941568.log
01.01.2008 18:20 18.124 KB933729.log
01.01.2008 18:20 16.747 KB941202.log
01.01.2008 18:20 16.920 KB938127.log
01.01.2008 18:19 17.547 KB938829.log
01.01.2008 18:19 16.862 KB921503.log
01.01.2008 18:18 16.297 KB936021.log
01.01.2008 18:18 16.362 KB935839.log
01.01.2008 18:18 16.826 KB929123.log
01.01.2008 18:18 16.001 KB935840.log
01.01.2008 18:18 17.004 KB931784.log
01.01.2008 18:17 15.970 KB930178.log
01.01.2008 18:17 17.220 KB932168.log
01.01.2008 18:17 15.065 KB931261.log
01.01.2008 18:17 15.874 KB925902.log
01.01.2008 18:17 13.982 KB928843.log
01.01.2008 18:17 13.716 KB928255.log
01.01.2008 18:16 12.099 KB927802.log
01.01.2008 18:16 12.604 KB927779.log
01.01.2008 18:16 9.295 KB926436.log
01.01.2008 18:16 7.809 KB924667.log
01.01.2008 18:16 9.615 KB918118.log
01.01.2008 18:16 9.600 KB926255.log
01.01.2008 18:16 9.496 KB924270.log
01.01.2008 18:15 8.435 KB923980.log
01.01.2008 18:15 8.729 KB920213.log
01.01.2008 18:15 5.978 KB917537.log
01.01.2008 18:15 6.304 KB918439.log
01.01.2008 18:15 6.110 KB901190.log
01.01.2008 18:15 5.499 KB887472.log
01.01.2008 17:57 360 DtcInstall.log
01.01.2008 17:57 1.174 OEWABLog.txt
01.01.2008 17:57 1.204.774 setuplog.txt
01.01.2008 17:47 464.153 svcpack.log
01.01.2008 17:47 300.399 KB924496.log
01.01.2008 17:47 327.888 KB924191.log
01.01.2008 17:47 324.258 KB923414.log
01.01.2008 17:47 265.176 KB923191.log
01.01.2008 17:47 352.034 KB922819.log
01.01.2008 17:46 317.634 KB922616.log
01.01.2008 17:46 321.363 KB921883.log
01.01.2008 17:46 307.346 KB921398.log
01.01.2008 17:46 264.387 KB920685.log
01.01.2008 17:46 234.223 KB920683.log
01.01.2008 17:45 280.749 KB920670.log
01.01.2008 17:45 279.671 KB919007.log
01.01.2008 17:45 258.351 KB917953.log
01.01.2008 17:45 256.595 KB917422.log
01.01.2008 17:45 255.450 KB917344.log
01.01.2008 17:44 232.595 KB914389.log
01.01.2008 17:44 283.315 KB914388.log
01.01.2008 17:44 243.668 KB913580.log
01.01.2008 17:44 234.644 KB912919.log
01.01.2008 17:43 324.390 KB911927.log
01.01.2008 17:43 299.109 KB911562.log
01.01.2008 17:43 314.996 KB911280.log
01.01.2008 17:43 274.311 KB910437.log
01.01.2008 17:43 248.219 KB908531.log
01.01.2008 17:42 231.700 KB908519.log
01.01.2008 17:42 241.408 KB905749.log
01.01.2008 17:42 259.697 KB905414.log
01.01.2008 17:42 248.212 KB904706.log
01.01.2008 17:42 305.286 KB902400.log
01.01.2008 17:41 256.426 KB901214.log
01.01.2008 17:41 313.916 KB901017.log
01.01.2008 17:41 264.565 KB900725.log
01.01.2008 17:41 315.283 KB899591.log
01.01.2008 17:41 276.940 KB899589.log
01.01.2008 17:40 328.766 KB899587.log
01.01.2008 17:40 232.160 KB896428.log
01.01.2008 17:40 318.190 KB896424.log
01.01.2008 17:40 295.754 KB896423.log
01.01.2008 17:40 299.221 KB896358.log
01.01.2008 17:39 316.352 KB893756.log
01.01.2008 17:39 277.934 KB891781.log
01.01.2008 17:39 234.545 KB890859.log
01.01.2008 17:39 280.725 KB890046.log
01.01.2008 17:38 247.814 KB888302.log
01.01.2008 17:38 318.122 KB885836.log
01.01.2008 17:38 324.569 KB885835.log
01.01.2008 17:38 291.301 KB873339.log
01.01.2008 17:35 200 cmsetacl.log
01.01.2008 17:34 299.552 WMSysPrx.prx
01.01.2008 17:34 1.330 sessmgr.setup.log
01.01.2008 16:39 195.314 setupact.log
01.01.2008 16:33 16.437 KB842773.log
01.01.2008 16:33 13.980 KB898461.log
01.01.2008 16:23 1.330 xpsp1hfm.log
01.01.2008 16:23 115.128 KB835732.log
01.01.2008 16:21 83.469 KB914798.log
01.01.2008 16:20 73.999 KB925486-IE6SP1-20060918.120000.log
01.01.2008 16:20 74.165 KB918439-IE6SP1-20060530.145346.log
01.01.2008 16:19 100.075 KB905495.log
01.01.2008 16:19 80.952 KB911564.log
01.01.2008 16:17 42.023 KB917734.log
01.01.2008 16:16 62.678 KB892944.log
01.01.2008 16:15 30.690 KB918899-IE6SP1-20060725.123917.log
01.01.2008 16:15 26.085 KB911567-OE6SP1-20060316.165634.log
01.01.2008 16:14 42.385 KB835409.log
01.01.2008 16:13 1.024.083 setupapi.log.0.old
01.01.2008 12:53 0 nsreg.dat
01.01.2008 00:44 2.066 vminst.log
01.01.2008 00:41 16.061 WgaNotify.log
31.12.2007 22:41 7.789 KB892130.log
31.12.2007 21:08 42.414 DPINST.LOG
31.12.2007 14:18 712 SynInst.log
31.12.2007 14:16 836 Windows Update.log
31.12.2007 14:14 5.127 KB888111.log
31.12.2007 14:14 315.392 HideWin.exe
31.12.2007 14:11 70.156 ydi.log
30.12.2007 21:11 44 lgcenter.ini
30.12.2007 20:54 8.192 REGLOCS.OLD
30.12.2007 20:51 0 control.ini
30.12.2007 20:51 4.161 ODBCINST.INI
30.12.2007 20:50 749 WindowsShell.Manifest
30.12.2007 20:48 37 vbaddin.ini
30.12.2007 20:48 36 vb.ini
30.12.2007 20:44 0 Sti_Trace.log
30.12.2007 20:42 1.348 regopt.log
30.12.2007 20:41 0 setuperr.log
13.12.2007 19:09 972.072 UNNeroMediaHome.exe

Verzeichnis von C:\WINDOWS\tasks

15.01.2008 18:27 6 SA.DAT
14.01.2008 18:01 276 AppleSoftwareUpdate.job
01.01.2008 22:48 106 Low Battery Alarm Program.job
01.01.2008 22:48 106 Critical Battery Alarm Program.job
18.08.2001 14:00 65 desktop.ini
5 Datei(en) 559 Bytes
0 Verzeichnis(se), 90.008.571.904 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7893-9583

Verzeichnis von C:\DOKUME~1\nadia\LOKALE~1\Temp

15.01.2008 19:23 118.641 filelist.txt
1 Datei(en) 118.641 Bytes
0 Verzeichnis(se), 90.008.567.808 Bytes frei

spratelboing · 15.01.2008, 20:15

noch was, das evtl interessant sein könnte:

wenn ich NDIS service via registry auf automatisch stelle und neustarte, verbindet der wlan adapter ja ersteinmal.
starte ich dann firefox verliert er aber die verbindung.
allerdings wurde jetzt auf dem desktop eine IE verknüpfung zugefügt. definitiv nicht von mir, da ich den IE nicht benutze. und siehe da, mit ihm kommt man sogar ins netz. bin ich nur paranoid oder wartet da irgendein tool, das für den IE optimiert wurde, nur darauf, dass ich jetzt online banking oder ähnliches mache?

wie auch immer, habe die chance natürlich gleich ergriffen und mache einen online check mit kaspersky.

log file folgt.

anschließend werd ich noch Virtustotal (online), Vundofix und SmitfraudFix testen lassen. dann bin ich mit meinem latein aber am ende.
#

spratelboing · 15.01.2008, 21:52

also:

Kaspersky Log File:
==============

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 15. Januar 2008 20:33:09
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 15/01/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 478483
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\nadia\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 20226
Viren gefunden: 2
Infizierte Objekte gefunden: 4
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:18:19

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SF262CE45.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\down\4362109.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\drivers\down\4376859.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\drivers\hldrrr.exe Infizierte Objekte: Trojan-Downloader.Win32.Bagle.ia übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\mdelk.exe Infizierte Objekte: Email-Worm.Win32.Bagle.of übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Habe alle Dateien bis auf die h323log.txt manuell gelöscht. Diese konnte weder gelöscht noch umbenannt werden.

---------------------------------------------------------------------------

Danach habe ich den ursprünglichen Bösewicht entdeckt. Wie vermutet einer der Screensaver. virustotal.com hat ihn folgendermaßen identifiziert:
==========

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis |
Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά |
Français | Svenska | Português | Italiano | | | Magyar | Česky | Polski |
Español | English
Virustotal analysiert verdächtige Dateien und erleichtert die schnelle
Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware,
welche von den Antivirus-Engines festgestellt werden. Weitere
Informationen...
Datei TROJANER.exe empfangen 2008.01.15 21:14:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 16/32 (50%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir
warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange
(position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email
in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System
sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

AntivirusVersionletzte aktualisierungErgebnis
AhnLab-V32008.1.16.102008.01.15-
AntiVir7.6.0.482008.01.15-
Authentium4.93.82008.01.13-
Avast4.7.1098.02008.01.14-
AVG7.5.0.5162008.01.15Downloader.Generic6.AECO
BitDefender7.22008.01.15Trojan.Dropper.Bagle.SRH
CAT-QuickHeal9.002008.01.15Win32.Backdoor.Rbot.bmr
ClamAV0.91.22008.01.15PUA.Packed.Themida
DrWeb4.44.0.091702008.01.15Win32.HLLM.Beagle
eSafe7.0.15.02008.01.15-
eTrust-Vet31.3.54592008.01.15-
Ewido4.02008.01.15-
FileAdvisor12008.01.15-
Fortinet3.14.0.02008.01.15W32/Bagle.IA!tr.dldr
F-Prot4.4.2.542008.01.14-
F-Secure6.70.13030.02008.01.15Trojan-Downloader.Win32.Bagle.ia
IkarusT3.1.1.202008.01.15Backdoor.VB.EV
Kaspersky7.0.0.1252008.01.15Trojan-Downloader.Win32.Bagle.ia
McAfee52082008.01.15-
Microsoft1.31092008.01.15TrojanDownloader:Win32/Bagle.PU
NOD32v227932008.01.15Win32/Bagle.LV
Norman5.80.022008.01.15W32/Mitglied.AMR
Panda9.0.0.42008.01.15-
Prevx1V22008.01.15Backdoor.SdBot.gen
Rising20.27.12.002008.01.15-
Sophos4.24.02008.01.15-
Sunbelt2.2.907.02008.01.15VIPRE.Suspicious
Symantec102008.01.15-
TheHacker6.2.9.1872008.01.13W32/Behav-Heuristic-064
VBA323.12.2.52008.01.15-
VirusBuster4.3.26:92008.01.15-
Webwasher-Gateway6.6.22008.01.15Win32.Malware.gen (suspicious)
weitere Informationen
File size: 724165 bytes
MD5: 8306ce27f495a2d012df08f09722377c
SHA1: b26db16b6a04a8058399d6a1a5989751aa57cc30
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida
Prevx info:
http://info.prevx.com/aboutprogramtext.asp?PX5=F835EEB7C5AB2A4C0C9B0B615E00B10080C159B6
Sunbelt info: VIPRE.Suspicious is a generic detection for potential
threats that are deemed suspicious through heuristics.

ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec
Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der
Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist
als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die
Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine
Erkennungsrate aller Viren und Malware zu 100% bietet. VirusTotal © Hispasec
Sistemas - Blog - Kontakt: info@virustotal.com

--------------------------------------------------------------------------

VundoFix hat dann nichts gefunden

--------------------------------------------------------------------------

SmitFraudFix lieferte folgenden report:
=========

SmitFraudFix v2.274

Scan done at 21:39:33,81, 15.01.2008
Run from C:\Dokumente und Einstellungen\nadia\Desktop\security\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5006X Wireless Network Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

spratelboing · 15.01.2008, 22:16

zu guter letzt noch der report von dss.exe:

Deckard's System Scanner v20071014.68
Run by nadia on 2008-01-15 21:54:25
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
301: 2008-01-15 20:54:34 UTC - RP301 - Deckard's System Scanner Restore Point
300: 2008-01-15 17:21:31 UTC - RP300 - ComboFix created restore point
299: 2008-01-15 17:06:16 UTC - RP299 - Sygate Personal Firewall Pro wird entfernt
298: 2008-01-15 17:04:39 UTC - RP298 - AntiVir PersonalEdition Classic - 15.01.2008 18:04
297: 2008-01-15 16:18:36 UTC - RP297 - Wiederherstellungsvorgang

-- First Restore Point --
1: 2007-12-30 20:06:34 UTC - RP1 - Systemprüfpunkt

Backed up registry hives.
Performed disk cleanup.

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-01-15 21:56:11
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\LG Software\Battery Miser\batterymiser.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Programme\LG Software\On Screen Display\HotKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.exe
C:\Programme\LG Software\Status Indicator\SITray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\nadia\Desktop\security\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [batterymiser] "C:\Programme\LG Software\Battery Miser\batterymiser.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [KeybdUtility] "C:\Programme\LG Software\On Screen Display\HotKey.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LGSI] "C:\Programme\LG Software\Status Indicator\SITray.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199136810406
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{6C400A65-DA2F-429E-8754-CB608C7A0B9A}: NameServer = 192.168.1.1
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{CE377713-3972-4E92-BB2F-A92C2CC3F0AE}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\system32\Ati2evxx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Programme\Nero\Nero8\Nero
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 8094 bytes

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 BTHidMgr (Bluetooth HID Manager Service) - c:\windows\system32\drivers\bthidmgr.sys <Not Verified; IVT Corporation; BlueSoleil(c)>
R1 VClone - c:\windows\system32\drivers\vclone.sys <Not Verified; Elaborate Bytes AG; Virtual CloneDrive>
R3 BlueletAudio (Bluetooth Audio Service) - c:\windows\system32\drivers\blueletaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 BlueletSCOAudio (Bluetooth SCO Audio Service) - c:\windows\system32\drivers\blueletscoaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 BT (Bluetooth PAN Network Adapter) - c:\windows\system32\drivers\btnetdrv.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 Btcsrusb (Bluetooth USB For Bluetooth Service) - c:\windows\system32\drivers\btcusb.sys <Not Verified; IVT Corporation; Bluetooth USB Device Driver>
R3 BTHidEnum (Bluetooth HID Enumerator) - c:\windows\system32\drivers\vbtenum.sys
R3 lgsnd_filter - c:\windows\system32\drivers\lgsnd_filter.sys
R3 pgfilter - c:\programme\peerguardian2\pgfilter.sys
R3 VComm (Virtual Serial port driver) - c:\windows\system32\drivers\vcomm.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 VcommMgr (Bluetooth VComm Manager Service) - c:\windows\system32\drivers\vcommmgr.sys <Not Verified; IVT Corporation; BlueSoleil>

S3 giveio - c:\windows\giveio.sys
S3 lgodd_filter - c:\windows\system32\drivers\lgodd_filter.sys (file missing)
S3 LGPCETH - c:\programme\lg software\status indicator\lgpceth.sys <Not Verified; Windows (R) Server 2003 DDK provider; Windows (R) Server 2003 DDK driver>
S3 LGPCNDIS - c:\programme\lg software\status indicator\lgpcndis.sys <Not Verified; Windows (R) Server 2003 DDK provider; Windows (R) Server 2003 DDK driver>

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 BlueSoleil Hid Service - c:\programme\ivt corporation\bluesoleil\btntservice.exe
R2 Nero BackItUp Scheduler 3 - c:\programme\nero\nero8\nero backitup\nbservice.exe

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Marvell Yukon 88E8039 PCI-E Fast Ethernet Controller
Device ID: PCI\VEN_11AB&DEV_4353&SUBSYS_01061854&REV_15\4&192AC53F&0&00E0
Manufacturer: Marvell
Name: Marvell Yukon 88E8039 PCI-E Fast Ethernet Controller
PNP Device ID: PCI\VEN_11AB&DEV_4353&SUBSYS_01061854&REV_15\4&192AC53F&0&00E0
Service: yukonwxp

-- Scheduled Tasks -------------------------------------------------------------

2008-01-14 18:01:43 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2008-01-01 22:48:23 106 --a------ C:\WINDOWS\Tasks\Low Battery Alarm Program.job
2008-01-01 22:48:23 106 --a------ C:\WINDOWS\Tasks\Critical Battery Alarm Program.job

-- Files created between 2007-12-15 and 2008-01-15 -----------------------------

2008-01-15 21:39:37 3598 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-15 21:38:52 25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-15 21:38:52 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-01-15 21:38:52 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-01-15 21:38:52 53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-01-15 21:38:52 81920 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-01-15 21:38:52 51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-15 21:09:37 0 d-------- C:\VundoFix Backups
2008-01-15 19:58:24 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-15 19:58:23 0 d-------- C:\WINDOWS\LastGood
2008-01-15 15:24:20 0 d-------- C:\WINDOWS\system32\NtmsData
2008-01-15 13:40:01 0 d-------- C:\WINDOWS\system32\drivers\down
2008-01-15 13:31:52 0 d-------- C:\Program
2008-01-14 22:32:05 0 d-------- C:\WINDOWS\system32\The Simpsons Movie dir
2008-01-14 22:13:28 30681 --a------ C:\WINDOWS\SPALETTE.DLL
2008-01-14 22:13:28 30736 --a------ C:\WINDOWS\AD_RSRC.DLL
2008-01-14 18:01:56 0 d-------- C:\Programme\QuickTime
2008-01-14 18:01:40 0 d-------- C:\Programme\Apple Software Update
2008-01-14 17:37:57 0 d-------- C:\Programme\The Weather Channel FW
2008-01-14 17:36:19 0 d-------- C:\Programme\Trillian
2008-01-14 14:27:56 0 d-------- C:\Programme\Cain
2008-01-14 14:27:17 0 d-------- C:\Programme\Nsasoft
2008-01-14 14:26:49 0 d-------- C:\Programme\WinPcap
2008-01-14 14:26:35 0 d-------- C:\Programme\Nmap
2008-01-12 10:32:06 0 d-------- C:\Programme\Microsoft SQL Server
2008-01-12 10:29:06 102400 --a------ C:\WINDOWS\system32\pywintypes25.dll <Not Verified; ; PyWin32>
2008-01-12 10:29:06 327680 --a------ C:\WINDOWS\system32\pythoncom25.dll <Not Verified; ; PyWin32>
2008-01-12 10:28:34 0 d-------- C:\Python25
2008-01-12 10:23:30 0 d-------- C:\CSTEMP
2008-01-12 10:00:41 147456 --a------ C:\WINDOWS\system32\WMIMPLEX.dll
2008-01-12 10:00:41 36864 --a------ C:\WINDOWS\system32\maplec.dll
2008-01-12 10:00:41 0 d-------- C:\watcom-1.3
2008-01-12 10:00:04 0 d--h----- C:\Programme\Zero G Registry
2008-01-12 10:00:04 0 d-------- C:\Programme\Maple 11
2008-01-05 15:41:27 0 d-------- C:\Programme\NetSend 1.0
2008-01-04 23:20:18 593920 -----n--- C:\WINDOWS\system32\ati2sgag.exe <Not Verified; ; ATI Smart>
2008-01-04 14:16:41 0 d-------- C:\WINDOWS\Sun
2008-01-03 21:02:06 0 d-------- C:\Programme\i2p
2008-01-03 20:55:29 0 d-------- C:\Programme\Java
2008-01-03 20:55:06 0 d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-03 19:13:51 0 d-------- C:\Programme\Microsoft Works
2008-01-03 19:10:45 0 d-------- C:\Programme\Microsoft Visual Studio 8
2008-01-03 19:09:59 0 d-------- C:\WINDOWS\SHELLNEW
2008-01-03 19:09:17 0 dr-h----- C:\MSOCache
2008-01-03 18:30:06 0 d-------- C:\Programme\xp-AntiSpy
2008-01-03 18:06:30 0 d-------- C:\Programme\PeerGuardian2
2008-01-03 17:42:36 0 d-------- C:\Programme\emule xtreme
2008-01-03 09:53:11 0 d-------- C:\Programme\Elaborate Bytes
2008-01-03 09:35:03 0 d-------- C:\Programme\CambridgeSoft
2008-01-03 09:33:06 0 d-------- C:\WINDOWS\system32\URTTEMP
2008-01-02 20:46:04 0 d-------- C:\Programme\Nero
2008-01-02 20:46:04 0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-01-02 20:45:24 0 d-------- C:\WINDOWS\RegisteredPackages
2008-01-02 20:39:23 0 d-------- C:\Programme\MestRe-C
2008-01-02 20:35:16 0 d-------- C:\Programme\AVI MPEG ASF WMV Splitter
2008-01-02 20:10:15 147456 --a------ C:\WINDOWS\VMCap.exe <Not Verified; VM; >
2008-01-02 20:10:15 40960 --a------ C:\WINDOWS\Vm_sti.exe <Not Verified; VM.; >
2008-01-02 20:10:14 307200 --a------ C:\WINDOWS\vidcap32.Exe <Not Verified; Microsoft Corporation; Microsoft Windows>
2008-01-02 20:10:14 61440 --a------ C:\WINDOWS\system32\VM31bSTI.dll <Not Verified; VM; >
2008-01-02 20:10:14 93450 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys <Not Verified; VM; >
2008-01-02 20:10:14 53248 --a------ C:\WINDOWS\StillCap.exe <Not Verified; VM; >
2008-01-02 20:10:14 0 d-------- C:\WINDOWS\CatRoot
2008-01-02 20:10:14 49152 --a------ C:\WINDOWS\amcap.exe
2008-01-02 20:10:14 0 d-------- C:\Programme\Vimicro
2008-01-02 20:07:32 0 d-------- C:\Programme\Astonsoft
2008-01-02 17:50:19 0 d-------- C:\Programme\MSBuild
2008-01-02 17:50:15 0 d-------- C:\WINDOWS\system32\XPSViewer
2008-01-02 17:50:09 0 d-------- C:\Programme\Reference Assemblies
2008-01-02 17:32:58 0 d-------- C:\Programme\OriginLab
2008-01-02 16:43:25 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-01-02 15:23:04 0 d-------- C:\Programme\Filzip
2008-01-02 15:13:09 0 d-------- C:\WINDOWS\Downloaded Installations
2008-01-02 15:01:11 0 d-------- C:\Uni Zeug
2008-01-02 13:49:45 1670 --a------ C:\WINDOWS\mozver.dat
2008-01-02 13:48:00 0 d-------- C:\Programme\uTorrent
2008-01-02 13:35:28 0 d-------- C:\Programme\Vidalia Bundle
2008-01-02 13:19:17 0 d-------- C:\Programme\OpenOffice.org 2.3
2008-01-01 22:28:42 0 d-------- C:\Programme\Skype
2008-01-01 22:28:42 0 d-------- C:\Programme\Gemeinsame

spratelboing · 15.01.2008, 22:17

teil 2:
====

Dateien\Skype
2008-01-01 22:09:39 0 d-------- C:\ATI
2008-01-01 21:59:33 0 d-------- C:\Programme\Microsoft.NET
2008-01-01 19:20:22 0 d-------- C:\Programme\CabExtract
2008-01-01 19:20:18 73216 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>
2008-01-01 18:34:51 0 d-------- C:\Programme\Lavasoft
2008-01-01 18:19:02 0 d-------- C:\Programme\MSXML 6.0
2008-01-01 18:18:55 0 d-------- C:\Programme\MSXML 4.0
2008-01-01 18:18:11 0 d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-01-01 18:05:05 0 d-------- C:\WinBoard_UpdatePack
2008-01-01 18:04:06 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-01 17:57:03 0 d-------- C:\WINDOWS\Prefetch
2008-01-01 17:34:29 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll <Not Verified; ATI Technologies Inc.; ATI Radeon WindowsNT Display Driver>
2008-01-01 17:34:29 499712 --a------ C:\WINDOWS\system32\ati2cqag.dll <Not Verified; ATI Technologies Inc.; ATI Radeon Family>
2008-01-01 17:34:28 1640192 --a------ C:\WINDOWS\system32\ativvaxx.dll <Not Verified; ATI Technologies Inc.; ATI Technologies Inc. Radeon Video Acceleration Universal Driver>
2008-01-01 17:34:28 3175584 --a------ C:\WINDOWS\system32\ati3duag.dll <Not Verified; ATI Technologies Inc.; ATI Technologies Inc. Radeon DirectX Universal Driver>
2008-01-01 17:34:25 0 d-------- C:\WINDOWS\peernet
2008-01-01 17:34:24 0 d-------- C:\WINDOWS\provisioning
2008-01-01 17:33:11 0 d-------- C:\WINDOWS\ServicePackFiles
2008-01-01 17:30:37 0 d-------- C:\WINDOWS\EHome
2008-01-01 16:54:33 0 d-------- C:\Bilder
2008-01-01 16:54:27 0 d-------- C:\Musik
2008-01-01 16:54:06 0 d-------- C:\Programme\VideoLAN
2008-01-01 16:34:02 0 d-------- C:\Dateifreigabe
2008-01-01 16:33:06 0 d-------- C:\WINDOWS\system32\bits
2008-01-01 16:32:59 0 d-------- C:\WINDOWS\system32\PreInstall
2008-01-01 16:23:00 26112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-01-01 16:14:00 0 d-------- C:\WINDOWS\system32\appmgmt
2008-01-01 12:53:58 0 --a------ C:\WINDOWS\nsreg.dat
2008-01-01 12:53:52 0 d-------- C:\Programme\Mozilla Firefox(2)
2008-01-01 12:08:16 0 d-------- C:\downloads
2008-01-01 00:44:23 6550 --a------ C:\WINDOWS\jautoexp.dat
2007-12-31 22:40:54 0 d-------- C:\WINDOWS\$hf_mig$
2007-12-31 22:33:41 0 d-------- C:\WINDOWS\SoftwareDistribution
2007-12-31 22:32:52 0 d-------- C:\WINDOWS\SxsCaPendDel
2007-12-31 21:06:27 0 d-------- C:\temp
2007-12-31 14:22:59 0 d-------- C:\WINDOWS\system32\Lang
2007-12-31 14:18:42 0 d-------- C:\Programme\Synaptics
2007-12-31 14:15:07 49152 --a------ C:\WINDOWS\system32\ChCfg.exe
2007-12-31 14:15:05 0 d-------- C:\WINDOWS\system32\RTCOM
2007-12-31 14:14:33 0 d-------- C:\Programme\Realtek
2007-12-31 14:14:30 520192 --a------ C:\WINDOWS\RtlExUpd.dll <Not Verified; Realtek Semiconductor Corp.; RtlExUpd Dynamic Link Library>
2007-12-31 14:14:30 315392 --a------ C:\WINDOWS\HideWin.exe <Not Verified; Realtek Semiconductor Corp.; HD Audio Hide windows program>
2007-12-31 14:11:33 0 d-------- C:\WINDOWS\Options
2007-12-31 14:11:10 0 d-------- C:\Programme\Marvell
2007-12-31 14:08:04 0 d-------- C:\Intel
2007-12-31 14:07:45 126976 --a------ C:\WINDOWS\system32\Imsmudlg.exe <Not Verified; Intel(R) Corporation; Uninstset Installation Utility>
2007-12-31 14:07:45 0 d-------- C:\WINDOWS\system32\DEU
2007-12-31 14:07:44 0 d-------- C:\WINDOWS\system32\ReinstallBackups
2007-12-31 14:07:29 0 d-------- C:\Programme\Intel
2007-12-31 14:05:03 50176 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>
2007-12-31 14:04:32 0 d-------- C:\Programme\IVT Corporation
2007-12-31 14:03:58 7552 --a------ C:\WINDOWS\system32\drivers\lgsnd_filter.sys
2007-12-31 14:03:58 114688 --a------ C:\WINDOWS\system32\bmpsap.dll <Not Verified; ; Psap module>
2007-12-31 14:03:58 0 d-------- C:\Programme\LG Software
2007-12-30 21:54:54 0 d---s---- C:\WINDOWS\system32\Microsoft
2007-12-30 21:40:53 0 d-------- C:\drivers
2007-12-30 21:40:52 0 d-------- C:\WINDOWS\OEMDIR
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\WinSxS
2007-12-30 21:36:01 0 dr------- C:\WINDOWS\Web
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\twain_32
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\wbem
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\usmt
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\ShellExt
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\Setup
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\oobe
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\npp
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\mui
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\inetsrv
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\IME
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\icsxml
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\ias
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\export
2007-12-30 21:36:01 0 dr-hs--c- C:\WINDOWS\system32\dllcache
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\3com_dmi
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\3076
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\2052
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1054
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1042
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1041
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1037
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1033
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1031
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1028
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\system32\1025
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\security
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\Resources
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\mui
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\msapps
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\Media
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\java
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\ime
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\Driver Cache
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\Debug
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\Connection Wizard
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\AppPatch
2007-12-30 21:36:01 0 d-------- C:\WINDOWS\addins
2007-12-30 21:36:00 0 d-------- C:\WINDOWS
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\wins
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\spool
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\ras
2007-12-30 21:36:00 0 d--h----- C:\WINDOWS\system32\drivers
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\drivers\etc
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\drivers\disdn
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\dhcp
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system32\config
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\system
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\repair
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\msagent
2007-12-30 21:36:00 0 d--h----- C:\WINDOWS\inf
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\Help
2007-12-30 21:36:00 0 dr--s---- C:\WINDOWS\Fonts
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\Cursors
2007-12-30 21:36:00 0 d-------- C:\WINDOWS\Config
2007-12-30 21:16:05 0 d-------- C:\Programme\DIFX
2007-12-30 21:16:01 0 d------c- C:\WINDOWS\system32\DRVSTORE
2007-12-30 21:15:39 0 d-------- C:\Programme\Atheros
2007-12-30 21:15:38 0 d--h----- C:\Programme\InstallShield Installation Information
2007-12-30 21:15:14 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-30 21:14:01 0 d-------- C:\Programme\ATI Technologies
2007-12-30 21:13:58 0 d-------- C:\Programme\ATI
2007-12-30 21:08:42 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-12-30 21:06:28 0 d--hs---- C:\WINDOWS\Installer
2007-12-30 21:05:37 0 d--hs---- C:\System Volume Information
2007-12-30 20:52:00 0 d-------- C:\WINDOWS\system32\xircom
2007-12-30 20:52:00 0 d-------- C:\Programme\microsoft frontpage
2007-12-30 20:51:43 0 -rahs---- C:\MSDOS.SYS
2007-12-30 20:51:43 0 -rahs---- C:\IO.SYS
2007-12-30 20:51:43 0 --a------ C:\CONFIG.SYS
2007-12-30 20:51:43 1 --a------ C:\AUTOEXEC.BAT
2007-12-30 20:50:57 0 dr------- C:\WINDOWS\Offline Web Pages
2007-12-30 20:50:57 0 d---s---- C:\WINDOWS\Downloaded Program Files
2007-12-30 20:50:47 0 d-------- C:\Programme\Online-Dienste
2007-12-30 20:50:29 0 d-------- C:\WINDOWS\system32\DirectX
2007-12-30 20:49:39 0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2007-12-30 20:49:34 0 d---s---- C:\WINDOWS\Tasks
2007-12-30 20:49:30 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-30 20:49:24 0 d-------- C:\WINDOWS\srchasst
2007-12-30 20:49:23 0 d-------- C:\WINDOWS\system32\Macromed
2007-12-30 20:49:21 0 d-------- C:\Programme\Movie Maker
2007-12-30 20:49:16 0 d-------- C:\WINDOWS\PCHealth
2007-12-30 20:49:15 0 d-------- C:\WINDOWS\system32\Restore
2007-12-30 20:48:45 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-12-30 20:48:41 0 d-------- C:\WINDOWS\Registration
2007-12-30 20:48:38 0 d--h----- C:\Programme\WindowsUpdate
2007-12-30 20:48:37 0 d-------- C:\Programme\Online Services
2007-12-30 20:48:34 0 d-------- C:\Programme\Messenger
2007-12-30 20:48:28 0 d-------- C:\Programme\MSN Gaming Zone
2007-12-30 20:48:01 83968 --a------ C:\WINDOWS\system32\mtxoci(2).dll <Not Verified; Microsoft Corporation; COM Services>
2007-12-30 20:47:58 56832 --a------ C:\WINDOWS\system32\colbact(2).dll <Not Verified; Microsoft Corporation; COM Services>
2007-12-30 20:47:57 468480 --a------ C:\WINDOWS\system32\clbcatq(2).dll <Not Verified; Microsoft Corporation; COM Services>
2007-12-30 20:47:57 215040 --a------ C:\WINDOWS\system32\catsrv(2).dll <Not Verified; Microsoft Corporation; COM Services>
2007-12-30 20:47:41 0 d-------- C:\Programme\Windows NT
2007-12-30 20:47:37 0 d-------- C:\WINDOWS\system32\MsDtc
2007-12-30 20:47:36 0 d-------- C:\WINDOWS\system32\Com
2007-12-30 20:47:36 582656 --a------ C:\WINDOWS\system32\catsrvut(2).dll <Not Verified; Microsoft Corporation; COM Services>
2007-12-30 20:47:35 1172992 --a------ C:\WINDOWS\system32\comsvcs(2).dll <Not Verified; Microsoft Corporation; COM Services>
2007-12-30 20:42:42 0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-12-30 20:42:38 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-30 20:42:37 0 dr------- C:\Programme
2007-12-30 20:42:37 0 d-------- C:\Programme\Gemeinsame Dateien
2007-12-30 20:42:05 0 d-------- C:\WINDOWS\system32\CatRoot2
2007-12-30 20:42:05 0 d-------- C:\WINDOWS\system32\CatRoot
2007-12-30 20:41:38 0 d-------- C:\Dokumente und Einstellungen

-- Find3M Report ---------------------------------------------------------------

2008-01-15 21:56:28 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Skype
2008-01-15 20:36:13 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\tor
2008-01-15 20:27:46 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Vidalia
2008-01-15 13:46:38 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\uTorrent
2008-01-15 12:31:26 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\skypePM
2008-01-15 09:15:16 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Help
2008-01-12 11:53:53 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\GibbHill Properties Ltd
2008-01-12 10:36:45 594268 --a------ C:\WINDOWS\system32\perfh007.dat
2008-01-12 10:36:45 124604 --a------ C:\WINDOWS\system32\perfc007.dat
2008-01-05 20:54:53 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Adobe
2008-01-04 23:24:01 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\ATI
2008-01-04 14:16:41 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Sun
2008-01-02 21:23:12 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\vlc
2008-01-02 20:47:56 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Nero
2008-01-02 17:36:06 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\OriginLab
2008-01-02 16:59:30 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Leadertech
2008-01-02 13:31:52 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\OpenOffice.org2
2008-01-01 12:53:56 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Mozilla
2007-12-31 22:32:20 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Macromedia
2007-12-31 14:07:29 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\InstallShield
2007-12-30 21:06:25 0 d-------- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\Identities
2007-12-30 20:42:16 62 --ahs---- C:\Dokumente und Einstellungen\nadia\Anwendungsdaten\desktop.ini
2007-12-05 04:05:14 368640 --a------ C:\WINDOWS\system32\ATIDEMGX.dll <Not Verified; Advanced Micro Devices, Inc.; Catalyst® Control Centre>
2007-12-05 03:56:02 147456 --a------ C:\WINDOWS\system32\atipdlxx.dll <Not Verified; ATI Technologies, Inc.; ATI Desktop Component>
2007-12-05 03:55:50 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll <Not Verified; ATI Technologies, Inc.; ATI Driver Interface Component>
2007-12-05 03:55:42 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe <Not Verified; ATI Technologies, Inc.; ATI Default Resolution Update>
2007-12-05 03:55:34 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll <Not Verified; ATI Technologies, Inc.; ATI External Device Utility>
2007-12-05 03:55:20 122880 --a------ C:\WINDOWS\system32\ati2evxx.dll <Not Verified; ATI Technologies Inc.; ATI External Event Utility for Windows>
2007-12-05 03:54:55 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll <Not Verified; ATI Technologies Inc.; ATI Display Driver Utilities>
2007-12-05 03:53:58 495616 --a------ C:\WINDOWS\system32\ati2evxx.exe <Not Verified; ATI Technologies Inc.; ATI External Event Utility for Windows>
2007-12-05 03:53:09 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL <Not Verified; ATI Technologies Inc.; ATI Radeon Family>
2007-12-05 03:48:51 9535488 --a------ C:\WINDOWS\system32\atioglx2.dll <Not Verified; ATI Technologies Inc.; ATI OpenGL driver>
2007-12-05 03:48:44 6217728 --a------ C:\WINDOWS\system32\Atioglgl.dll <Not Verified; ATI Technologies Inc.; ATI FGL OpenGL driver>
2007-12-05 03:33:27 3107788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2007-12-05 03:33:27 887724 --a------ C:\WINDOWS\system32\ativva6x.dat
2007-12-05 03:33:27 3107788 --a------ C:\WINDOWS\system32\ativva5x.dat
2007-12-05 03:19:34 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll <Not Verified; ATI Technologies Inc.; ATI OpenGL driver>
2007-12-05 03:19:14 385024 --a------ C:\WINDOWS\system32\atikvmag.dll <Not Verified; ATI Technologies Inc.; Virtual Command And Memory Manager>
2007-12-05 03:17:21 17408 --a------ C:\WINDOWS\system32\atitvo32.dll <Not Verified; ATI Technologies Inc.; ATI RageTheater/ImpacTV COM interface>
2007-12-05 03:14:59 180224 --a------ C:\WINDOWS\system32\atiok3x2.dll <Not Verified; ATI Technologies Inc.; Ring 0 x2 Component>
2007-11-06 21:19:28 53299 --a------ C:\WINDOWS\system32\pthreadVC.dll
2007-11-06 15:19:00 158080 --a------ C:\WINDOWS\system32\atiicdxx.dat

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"batterymiser"="C:\Programme\LG Software\Battery Miser\batterymiser.exe" [23.02.2007 08:33]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [12.02.2007 13:37]
"KeybdUtility"="C:\Programme\LG Software\On Screen Display\HotKey.exe" [12.03.2007 11:01]
"SkyTel"="SkyTel.EXE" [20.04.2007 11:01 C:\WINDOWS\SkyTel.exe]
"AGRSMMSG"="AGRSMMSG.exe" [20.04.2007 11:05 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [20.04.2007 11:01 C:\WINDOWS\RTHDCPL.exe]
"LGSI"="C:\Programme\LG Software\Status Indicator\SITray.exe" [10.07.2006 10:04]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [20.04.2007 11:00]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.05.2007 03:06]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [01.03.2007 14:57]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [03.12.2007 14:21]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [29.04.2006 14:21]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [27.10.2006 00:47]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 01:11]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [14.10.2006 06:01]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [11.12.2007 10:56]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 00:57]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [14.10.2006 06:01]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [07.12.2007 15:08]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [13.12.2007 19:10]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [18.09.2005 18:40]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [26.08.2007 07:02]
"german.exe"="C:\WINDOWS\system32\wintems.exe" []

C:\Dokumente und Einstellungen\nadia\Startmen\Programme\Autostart\
Trillian.lnk - C:\Programme\Trillian\trillian.exe [11.12.2007]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Privoxy.lnk - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe [20.11.2006 15:30:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"= C:\WINDOWS\System32\bmpsap.dll [23.02.2007 08:32 114688]

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

*Newly Created Service* - PGFILTER

-- End of Deckard's System Scanner: finished at 2008-01-15 21:57:02 ------------

denke ich habe den trojaner auch ohne unterstützung seitens des forums

besiegt.

oder hat noch jemand bedenken?

am besten nochmal ein online kaspersky check oder?

boston · 16.01.2008, 13:56

was deine probleme genau verursacht hat (Win32.Trojan-PSW.Lineage, der bagle, dessen offensichtliche spuren du gelöscht hast, oder der bagle, der immer noch aktiv ist
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe)
ist relativ egal.
es bleibt dir leider nichts als neuaufsetzen übrig.
http://www.trojaner-board.de/12154-a...sicherung.html

spratelboing · 16.01.2008, 20:04

Oh man, echt? so eine rießen sch***e!!

Das ist echt SEHR schlimm für mich, da ich

1. grad sehr viel lernen muss, d.h. keine Zeit mehr für so was habe, trotzdem aber den PC benutzen muss

2. das Notebook auf XP downgegradet habe und das verheeeeerend viel Aufwand ist, weil die ganzen Treiber kaum herzubekommen sind.

Leider werde ich also auf das Neuaufsetzen verzichten müssen/werden

Wahrscheinlich hört ihr sowas oft und denkt:
"tja, dann ist es dein problem", aber vielleicht könnt ihr mir trotzdem tipps geben, mit welchen antiviren, removal etc tools meine chancen noch am besten stehen?

Ich meine, es ist ja so, dass man sich am Ende nicht sicher sein kann ob alles beseitigt ist, aber man kann doch zumindest so weit gehen, dass bekannte programme nix mehr finden oder?

Wenn mir unter diesen Umständen trotzdem noch jemand helfen könnte wäre ich wirklich SEHR, SEHR dankbar!!

spratelboing · 16.01.2008, 20:09

hab nochmal antivir und bitdefender drüber laufen lassen und so noch einiges beseitigen können (glube bzw. hoffe ich).

bin jetzt dabei nochmal combofix, vundo und dss durchzunudeln. macht es sinn die ergebnisse hier nochmal zu posten oder seht ihr das nur als vollspamen eures forums an?

spratelboing · 16.01.2008, 20:45

ach, und noch was, soll ich mal versuchen ob die system wiederherstellung wieder funktioniert?

würde das das problem beheben, wenn ich sicher wüsste, dass zu diesem zeitpunkt noch alles ok war?
oder installieren sich die trojis so, dass sie auch nach ner wiederherstellung noch drauf sind?

BITTE um Hilfe/Antwort!

boston · 16.01.2008, 22:11

schön, wenns so einfach wäre.
auch wenn die systemwiederherstellung wieder funktionieren sollte, das ist kein
wirksames mittel.

Zitat:

hab nochmal antivir und bitdefender drüber laufen lassen und so noch einiges beseitigen können

an den weiteren funden siehst du doch, daß das ein faß ohne boden ist.

Zitat:

"tja, dann ist es dein problem".

nicht nur.

dein system ist im moment eine gefahr für dich und andere.
hier ein wenig lektüre

Technische Kompromittierung - Wikipedia

Botnet - Wikipedia

trenn den rechner, bis du ihn neu aufsetzen kannst, vom netz.

Brauche Hilfe gegen Win32.Trojan-PSW.Lineage

Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe gegen Win32.Trojan-PSW.Lineage