TR/Vundo GEN, keine Vorschlag funktioniert

UncleDoc · 20.05.2008, 20:44

Hallo,

mein Anti- Vir meldet seit ca. 2 Tagen den angesprochenen Virus/ Malware.

Hier mein HijackThis Log-File, bin dankbar wenn mir jemand helfen könnte !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:22, on 20.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\WEMBG.EXE
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0} - C:\WINDOWS\system32\mllmj.dll (file missing)
O2 - BHO: (no name) - {5CC3AD29-DFF1-452B-AA12-ACB130483C97} - C:\WINDOWS\system32\shemlstyle.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: {732a890f-af8b-cf2a-90f4-a83d62de94b7} - {7b49ed26-d38a-4f09-a2fc-b8faf098a237} - C:\WINDOWS\system32\ofuclypn.dll
O2 - BHO: (no name) - {A547D2C2-7722-4953-B8A7-5548E75A8901} - C:\WINDOWS\system32\sstts.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [WEMBG] C:\WINDOWS\WEMBG.EXE
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [d000ae14] rundll32.exe "C:\WINDOWS\system32\jvkfrouk.dll",b
O4 - HKLM\..\Run: [BMd3339d88] Rundll32.exe "C:\WINDOWS\system32\mhrenfnx.dll",s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [HuaWeiEVDO.exe] "C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF83FAE7-C88A-4705-9A73-62BF5B95A302}: NameServer = 195.182.110.132 62.134.11.4
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 11424 bytes

undoreal · 20.05.2008, 22:09

Nabend.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\WEMBG.EXE

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

UncleDoc · 21.05.2008, 13:55

Ich denke das ich das jetz richtig gemacht habe...
Was mich wundert, ist das bei Ergebnis 0 % steht, hab ich da einen Schritt vergessen?

Wenn ja dann hab ich nicht richtig verstanden was ich noch machen sollte.
Aber siehe Auswertung, DANKE !

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.21 -
AntiVir 7.8.0.19 2008.05.21 -
Authentium 5.1.0.4 2008.05.21 -
Avast 4.8.1195.0 2008.05.21 -
AVG 7.5.0.516 2008.05.21 -
BitDefender 7.2 2008.05.21 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.21 -
DrWeb 4.44.0.09170 2008.05.21 -
eSafe 7.0.15.0 2008.05.20 -
eTrust-Vet 31.4.5808 2008.05.21 -
Ewido 4.0 2008.05.21 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.21 -
Fortinet 3.14.0.0 2008.05.21 -
GData 2.0.7306.1023 2008.05.21 -
Ikarus T3.1.1.26.0 2008.05.21 -
Kaspersky 7.0.0.125 2008.05.21 -
McAfee 5299 2008.05.20 -
Microsoft 1.3520 2008.05.21 -
NOD32v2 3116 2008.05.21 -
Norman 5.80.02 2008.05.20 -
Panda 9.0.0.4 2008.05.21 -
Prevx1 V2 2008.05.21 -
Rising 20.45.12.00 2008.05.21 -
Sophos 4.29.0 2008.05.21 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.21 -
TheHacker 6.2.92.314 2008.05.20 -
VBA32 3.12.6.6 2008.05.20 -
VirusBuster 4.3.26:9 2008.05.20 -
Webwasher-Gateway 6.6.2 2008.05.21 -
weitere Informationen
File size: 118784 bytes
MD5...: e066380e30ab845452e865d9098b5f80
SHA1..: 1ce007a8b3441c6dbf90f74d976f14eeff8601b9
SHA256: 6e928c9aed56945ca9a607db652de91390f84ea9325c96b49a7b63575bef0a0b
SHA512: e3cc2823c60352ae27a88188d40a346f82a417b764b0063d94cdef66a03f3679
63111d25cd244a3b0a44600baf7cf7bb988c772c4c365a90e7a307551816e071
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402f9d
timedatestamp.....: 0x41b541f6 (Tue Dec 07 05:39:02 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1162e 0x12000 6.47 731b970ed73fbe04a9b5be2225054dd5
.rdata 0x13000 0x40be 0x5000 4.16 1d232201fb49a757008b25eb774d1854
.data 0x18000 0x6ddc 0x4000 1.70 f012ecab83e1c682a96641ed106687a5
.rsrc 0x1f000 0x3f0 0x1000 1.08 d61287d53c16786313e3c06ad3fca457

( 8 imports )
> CFGMGR32.dll: CM_Open_DevNode_Key
> KERNEL32.dll: RtlUnwind, HeapFree, HeapAlloc, GetStartupInfoA, GetCommandLineA, ExitProcess, RaiseException, TerminateProcess, HeapSize, HeapReAlloc, GetACP, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CloseHandle, CreateProcessA, GetModuleFileNameA, GetLastError, CreateMutexA, DeleteCriticalSection, InitializeCriticalSection, FreeLibrary, GetProcAddress, LoadLibraryA, GetVersionExA, FlushFileBuffers, SetFilePointer, WriteFile, GetCurrentProcess, SetErrorMode, WritePrivateProfileStringA, GetOEMCP, GetCPInfo, GetProcessVersion, GlobalFlags, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalReAlloc, TlsFree, GlobalHandle, GlobalUnlock, LeaveCriticalSection, GlobalFree, TlsAlloc, LocalAlloc, SetLastError, LocalFree, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, GlobalLock, GlobalAlloc, lstrcmpA, GetCurrentThread, GetVersion, lstrcatA, GetCurrentThreadId, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcpyA, GetModuleHandleA, CreateFileA, DeviceIoControl, ExpandEnvironmentStringsA, lstrcpynA, UnhandledExceptionFilter, EnterCriticalSection
> USER32.dll: SetCursor, IsWindowEnabled, GetCursorPos, ValidateRect, GetActiveWindow, TranslateMessage, GetMessageA, GetNextDlgTabItem, EnableMenuItem, CheckMenuItem, SetMenuItemBitmaps, ModifyMenuA, GetMenuState, LoadBitmapA, GetMenuCheckMarkDimensions, SetWindowTextA, ShowWindow, GetClassNameA, PtInRect, ClientToScreen, LoadCursorA, GetSysColorBrush, ReleaseDC, GetDC, DestroyMenu, TabbedTextOutA, DrawTextA, GrayStringA, LoadStringA, LoadIconA, MapWindowPoints, GetSysColor, PeekMessageA, DispatchMessageA, GetFocus, SetFocus, AdjustWindowRectEx, GetClientRect, CopyRect, IsWindowVisible, GetTopWindow, MessageBoxA, GetParent, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextA, GetDlgCtrlID, DestroyWindow, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, DefWindowProcA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, SetForegroundWindow, SendMessageA, GetWindow, GetWindowLongA, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetSystemMetrics, EnableWindow, BroadcastSystemMessageA, KillTimer, UnregisterDeviceNotification, PostQuitMessage, RegisterDeviceNotificationA, SetTimer, FindWindowA, PostMessageA, GetKeyState, UnregisterClassA
> GDI32.dll: SaveDC, RestoreDC, SelectObject, GetStockObject, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, DeleteDC, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetDeviceCaps, DeleteObject, CreateBitmap, GetObjectA, SetBkColor, SetTextColor, GetClipBox
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegCloseKey, RegQueryValueExA, RegDeleteValueA, RegCreateKeyA
> COMCTL32.dll: -
> SETUPAPI.dll: SetupDiGetClassDevsA, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiDestroyDeviceInfoList

( 0 exports )

undoreal · 21.05.2008, 14:05

*Grummel* die Datei verarscht uns. Die ist nämlich definitiv nicht sauber.

Send die Datei bitte an Kaspersky. Wie das gemacht wird steht hier beschrieben: Wie sendet man eine Datei zur Untersuchung - Kaspersky Lab Forum

Nachdem du das gemacht hast machen wir einfach schonmal weiter. Da dein System höchstgradig geschädigt ist kommt da ein bischen Arbeit auf dich zu. Die sicherste und wahrscheinlich schnellste Variante wäre es das System neuaufzusetzten. Die Entscheidung liegt aber bei dir ..

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Überprüfe dein System mit SASW.

8) Mache einen letzten Maleware-Check mit Malewarebytes.

9) Checke dein System mit dem ESET Online Scanner. (Klicke nach dem Scan auf "Print this Page" oben rechts in der Ecke und kopiere das nachfolgende Fenster in deinen Post.)

10) Räume mit cCleaner auf. (Punkt 1 und 2)

11) Führe einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

12) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

UncleDoc · 21.05.2008, 17:09

Welche Datei soll ich an Kaspersky schicken, diesen Dateipfad den du mir als erstes angezeigt hast??

Zitat:
C:\WINDOWS\WEMBG.EXE

die Datei??

Und noch was, ab noch nicht angefangen mit angezeigten Aufgaben für mich aber ich kann Link nicht öffnen. D. h er verbindet dann nicht.
Ich benutze Firefox und IE läuft glei gar nicht !
Gibts dafür ne Lösung?

irrlicht · 21.05.2008, 17:34

Hallo,
jawohl diese Datei sollst du schicken !!
Halte dich genau an die Anweisung ,sonst klappt das nicht ....
Wenn du eine richtig neue Seuche gefunden hast ,wird dir Kaspersky das Recht einräumen diese nach einem Namen deiner Wahl zu taufen.
Allerdings hängt das von mehreren Faktoren ab.....
Bemühe dich also die Datei dorthin zu transportieren...

Zitat:

Und noch was, ab noch nicht angefangen mit angezeigten Aufgaben für mich aber ich kann Link nicht öffnen. D. h er verbindet dann nicht.
Ich benutze Firefox und IE läuft glei gar nicht !

Bedenklich,sehr bedenklich...
Ein Pferd, daß an der ersten Hürde schon scheitert ,würde man wohl erschießen....
Einem Läufer, der noch vor dem Start hinfällt ,den Sporthilfescheck entziehen...

Ein PC müßte demnach den "elektronischen Tod" sterben....

Zitat:

Gibts dafür ne Lösung?

Na klar...
Hier : http://www.trojaner-board.de/51262-a...sicherung.html

Irrlicht

UncleDoc · 21.05.2008, 18:51

1. An Kaspersky hab ich gesendet
2. Java deinstall
3. Blacklight- Log:

05/21/08 19:40:39 [Info]: BlackLight Engine 1.0.70 initialized
05/21/08 19:40:39 [Info]: OS: 5.1 build 2600 (Service Pack 3)
05/21/08 19:40:39 [Note]: 7019 4
05/21/08 19:40:39 [Note]: 7005 0
05/21/08 19:40:40 [Note]: 7006 0
05/21/08 19:40:40 [Note]: 7011 716
05/21/08 19:40:40 [Note]: 7035 0
05/21/08 19:40:40 [Note]: 7026 0
05/21/08 19:40:40 [Note]: 7026 0
05/21/08 19:40:42 [Note]: FSRAW library version 1.7.1024
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:26 [Note]: 2000 1012
05/21/08 19:47:45 [Note]: 7007 0

UncleDoc · 21.05.2008, 19:27

4. Silentrunners- Log:

"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Vidalia" = ""C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"" ["vidalia-project.net"]
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"HuaWeiEVDO.exe" = ""C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe"" ["Huawei Technologies Co., Ltd."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WEMBG" = "C:\WINDOWS\WEMBG.EXE" ["Cypress Semiconductor"]
"WebCam Go Plus Sti Service Application" = "Wcgopsvc" ["Creative Technology Ltd"]
"SweetIM" = "C:\Programme\Macrogaming\SweetIM\SweetIM.exe" ["MacroGaming LTD."]
"SW24" = "C:\WINDOWS\System32\sw24.exe" [null data]
"SW20" = "C:\WINDOWS\System32\sw20.exe" [empty string]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"Launch LGDCore" = ""C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"Launch LCDMon" = ""C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"" ["Logitech Inc."]
"Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NWEReboot" = "(empty string)" [file not found]
"d000ae14" = "rundll32.exe "C:\WINDOWS\system32\jvkfrouk.dll",b" [MS]
"BMd3339d88" = "Rundll32.exe "C:\WINDOWS\system32\mhrenfnx.dll",s" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\mllmj.dll" [file not found]
{5CC3AD29-DFF1-452B-AA12-ACB130483C97}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\shemlstyle.dll" [null data]
{5D945E9A-DC10-4670-83EB-99DAA616628A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Suchspur"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Suchspur.dll" [empty string]
{7b49ed26-d38a-4f09-a2fc-b8faf098a237}\(Default) = "{732a890f-af8b-cf2a-90f4-a83d62de94b7}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ofuclypn.dll" [null data]
{A547D2C2-7722-4953-B8A7-5548E75A8901}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\sstts.dll" [file not found]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEToolbarHelper Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Filzip\fzshext.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\sstts"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
Filzip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Filzip\fzshext.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Filzip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Filzip\fzshext.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"disableregistrytools" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKCU\Software\Policies\Microsoft\Windows\System\

"DisableCMD" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Disable the command prompt}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Desktop\Downloads\wp2_1280x1024.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Uncle Doc\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]

iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]

iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]

iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
-> {HKLM...CLSID} = "RealNetworks Scheduler"
\LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

Startup items in "Uncle Doc" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
"Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe -startup" ["Logitech Inc."]
"Privoxy" -> shortcut to: "C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe" ["The Privoxy team - www.privoxy.org"]
"SetPointII" -> shortcut to: "C:\Programme\Logitech\SetPoint II\SetpointII.exe" ["Logitech Inc."]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Inc."]
"FRU Task #Hewlett-Packard#hp psc 1100 series#1208455429" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1208455429"" [empty string]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}" = "Winamp Toolbar"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
StyleXPService, StyleXPService, ""C:\Programme\TGTSoft\StyleXP\StyleXPService.exe"" [empty string]
T-Online WLAN Adapter Steuerungsdienst, MZCCntrl, "C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe" ["T-Online International AG, Marmiko IT-Solutions GmbH"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\System32\AdobePDF.dll" ["Adobe Systems Incorporated."]
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
LIDIL Language Monitor\Driver = "hpzll3xu.dll" ["Hewlett-Packard Company"]
Microsoft Office Document Image Writer Monitor\Driver = "mdimon.dll" [MS]

---------- (launch time: 2008-05-21 19:33:35)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 44 seconds, including 4 seconds for message boxes)

Punkt 5 hab ich gerade gemacht...weiter Log´s folgen

Chris

UncleDoc · 21.05.2008, 20:34

5. Anleitung durchgeführt
6. Combofix- Log: Teil 1

ComboFix 08-05-20.5 - Uncle Doc 2008-05-21 20:58:01.2 - NTFSx86
ausgeführt von:: H:\Treiber\Security\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Data\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Example Files\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Settings\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0\Startup\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\EA Games\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\EA Games\Die Sims 2\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\My Playlists\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sample Playlists\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sample Playlists\002C47FF\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sync Playlists\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Sync Playlists\002C481E\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\Profile000\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\Profile000\SinglePlayer\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\Save\Profile000\SinglePlayer\Slot01\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Monolith Productions\FEAR\ServerOptions\_desktop.ini
C:\WINDOWS\BMd3339d88.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gqoxkmnq.ini
C:\WINDOWS\system32\jmllm.ini
C:\WINDOWS\system32\jmllm.ini2
C:\WINDOWS\system32\kuorfkvj.ini
C:\WINDOWS\system32\llkkj.ini2
C:\WINDOWS\system32\mhrenfnx.dll
C:\WINDOWS\system32\ofuclypn.dll
C:\WINDOWS\system32\sickqnkg.ini
.
---- Previous Run -------
.
C:\WINDOWS\autorun.inf
C:\WINDOWS\cookies.ini
C:\WINDOWS\hosts
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-21 bis 2008-05-21 ))))))))))))))))))))))))))))))
.

2008-05-21 19:55 . 2008-05-21 19:55 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-21 19:55 . 2008-05-21 19:55 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-21 19:54 . 2008-05-21 19:54 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-21 19:54 . 2008-05-21 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-21 19:54 . 2008-05-21 21:14 381,728 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-21 19:54 . 2008-05-21 21:12 10,272 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-21 19:54 . 2008-05-21 21:11 7,016 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-21 19:54 . 2008-05-21 21:11 1,940 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-21 19:53 . 2008-05-21 20:20 3,830 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-21 19:46 . 2008-05-21 19:46 <DIR> d-------- C:\kav
2008-05-20 20:47 . 2008-05-20 20:57 <DIR> d-------- C:\VundoFix Backups
2008-05-20 20:15 . 2008-05-20 20:15 <DIR> d-------- C:\Programme\Trend Micro
2008-05-19 13:29 . 2008-05-21 19:54 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-19 13:20 . 2008-05-19 13:20 92 --a------ C:\WINDOWS\wininit.ini
2008-05-19 12:59 . 2008-05-19 12:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-18 18:36 . 2008-05-18 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Command & Conquer 3 Kanes Rache
2008-05-18 18:34 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-05-18 18:34 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-05-18 18:34 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-05-18 18:33 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-05-18 18:04 . 2008-05-18 18:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-12 11:50 . 2008-05-13 15:37 <DIR> d-------- C:\WINDOWS\system32\seidel_0508 dir
2008-05-05 16:39 . 2008-05-05 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-30 18:26 . 2008-04-30 18:30 <DIR> d-------- C:\Programme\Your Uninstaller 2008
2008-04-30 18:26 . 2008-04-30 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\URSoft
2008-04-30 18:21 . 2008-04-30 18:21 <DIR> d-------- C:\Programme\WINcon 5.0
2008-04-30 15:09 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-04-30 15:07 . 2008-04-30 15:14 2,675 --a------ C:\WINDOWS\imsins.BAK
2008-04-29 19:53 . 2008-05-05 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\skypePM
2008-04-29 19:53 . 2008-04-29 19:53 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-04-29 19:52 . 2008-05-05 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Programme\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-04-29 19:51 . 2008-04-29 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-26 12:07 . 2008-04-26 12:07 127,034 -r------- C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2008-04-26 12:07 . 2008-04-26 12:07 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-04-26 12:06 . 2008-04-26 12:06 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-26 12:05 . 2008-04-26 12:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logishrd
2008-04-26 12:04 . 2008-04-26 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-21 19:13 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Vidalia
2008-05-21 19:13 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\tor
2008-05-21 18:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-21 16:17 --------- d-----w C:\Programme\Java
2008-05-19 16:57 --------- d-----w C:\Programme\Winamp
2008-05-19 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-19 10:48 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-18 16:14 --------- d-----w C:\Programme\Electronic Arts
2008-05-14 09:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-05-13 13:44 --------- d-----w C:\Programme\Nero
2008-05-09 21:32 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\ICQ
2008-05-09 09:41 --------- d-----w C:\Programme\MSN Messenger
2008-05-07 09:53 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\AdobeUM
2008-05-05 14:39 --------- d-----w C:\Programme\Logitech
2008-05-01 13:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-01 13:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-04-30 16:38 --------- d-----w C:\Programme\eMule
2008-04-30 16:34 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2008-04-30 13:15 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd9597.sys
2008-04-28 17:50 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Metacafe
2008-04-28 17:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Metacafe
2008-04-20 19:58 --------- d-----w C:\Programme\Ashampoo
2008-04-19 15:09 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\Nero
2008-04-19 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-04-19 15:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-19 10:39 --------- d-----w C:\Programme\ICQ6
2008-04-17 18:00 82,380 ----a-w C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-04-17 18:00 --------- d-----w C:\Programme\Hewlett-Packard
2008-04-17 09:35 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\vlc
2008-04-14 18:30 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-14 17:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-04-14 17:29 --------- d-----w C:\Programme\SlySoft
2008-04-14 15:30 --------- d-----w C:\Programme\Elaborate Bytes
2008-04-14 15:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-04-14 15:14 --------- d-----w C:\Programme\DVD Shrink DE
2008-04-14 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-04-14 14:59 --------- d-----w C:\Dokumente und Einstellungen\Uncle Doc\Anwendungsdaten\dvdcss
2008-04-14 05:53 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:53 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 05:53 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 05:32 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 05:32 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 05:32 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 05:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 05:32 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 05:28 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 05:28 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 05:28 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 05:28 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 05:28 14,720 ----a-w C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-14 05:27 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 05:26 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 05:25 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 05:25 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 05:24 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 05:22 57,728 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 05:22 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 05:22 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 05:22 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 05:21 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 05:20 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 05:20 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 05:19 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 05:19 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 05:19 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 22:58 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 22:51 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 22:50 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 22:50 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 22:50 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 22:49 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 22:49 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 22:49 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 22:49 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 22:49 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 22:47 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 22:47 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 22:47 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 22:46 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 22:46 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 22:45 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 22:45 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 22:45 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 22:44 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 22:44 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 22:30 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 22:30 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 22:27 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 22:27 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 22:27 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 22:27 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 22:27 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 22:27 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 22:27 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 22:26 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 22:26 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2006-08-15 17:10 80 --sh--r C:\WINDOWS\system32\67F8008A2B.dll
2001-08-18 19:00 253,952 -csha-w C:\WINDOWS\system32\msvcrt20.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}]
C:\WINDOWS\system32\mllmj.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A547D2C2-7722-4953-B8A7-5548E75A8901}]
C:\WINDOWS\system32\sstts.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 23:49 12889088]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2006-10-31 15:06 204843]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"HuaWeiEVDO.exe"="C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe" [2007-04-12 10:54 942080]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WEMBG"="C:\WINDOWS\WEMBG.EXE" [2004-12-07 11:09 118784]
"WebCam Go Plus Sti Service Application"="Wcgopsvc" []
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 11:07 40960]
"SW24"="C:\WINDOWS\System32\sw24.exe" [2005-07-04 07:29 69632]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2005-06-30 08:03 200704]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 12:01 77824 C:\WINDOWS\SOUNDMAN.EXE]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 02:08 2094352]
"Launch LCDMon"="C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-18 01:30 1687824]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 17:39 55824 C:\WINDOWS\KHALMNPR.Exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 00:00 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NWEReboot"="" []
"d000ae14"="C:\WINDOWS\system32\jvkfrouk.dll" [ ]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CJPG"= ctwbjpg.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\NETGEAR\\WG111v2 Configuration Utility\\RtWLan.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Ubisoft\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"C:\\Programme\\Ubisoft\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

UncleDoc · 21.05.2008, 20:35

Combofix- Log Teil 2:

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"36448:TCP"= 36448:TCP:Emule
"36449:UDP"= 36449:UDP:Emule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 13:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys []
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 21:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 21:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 21:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 21:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 21:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 21:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 21:06]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 09:57]
S3 WCGOPHAL;WCGOPHAL;C:\WINDOWS\system32\DRIVERS\Wcgophal.sys [2001-12-19 01:02]
S3 WCGOPVID;Video Blaster WebCam Go Plus (WDM);C:\WINDOWS\system32\DRIVERS\Wcgopvid.sys [2002-01-08 01:04]
S3 WEMFX_AT;USB Storage Adapter FX_AT;C:\WINDOWS\system32\DRIVERS\WEMFX_AT.SYS [2004-12-07 11:09]
S3 ZD1211BU(WLAN);802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 11:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b374a4c-bf70-11dc-82eb-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b374a4e-bf70-11dc-82eb-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14ab3f86-1757-11dd-837b-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bce-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd0-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd1-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd2-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd3-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e394bd4-49c9-11dc-824d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eb468ea-b4c1-11dc-82d3-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4eb468eb-b4c1-11dc-82d3-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f4a8caa-a0d7-11dc-82b2-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62de1a9a-92a8-11dc-8288-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62de1ab0-92a8-11dc-8288-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{717eed7c-c47b-11dc-82f0-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{833bcbd8-dc91-11dc-831c-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{833bcbd9-dc91-11dc-831c-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f0-4a94-11dc-8252-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f1-4a94-11dc-8252-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{848d72f2-4a94-11dc-8252-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1fd2a6-0572-11dd-834e-00138f424e42}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1fd2a7-0572-11dd-834e-00138f424e42}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9039208e-dd62-11dc-831d-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9bf5e7d4-4a6b-11dc-8251-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9bf5e7d5-4a6b-11dc-8251-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f479840-5a5d-11dc-8272-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f479841-5a5d-11dc-8272-00138f424e42}]
\Shell\AutoRun\command - I:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a142b200-1778-11dd-837c-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5cfb1c-16b3-11dd-8379-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab5cfb1d-16b3-11dd-8379-00138f424e42}]
\Shell\AutoRun\command - F:\AutoRun.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 15:16:33 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-04-24 19:10:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-18 18:05:11 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1208455429.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-21 21:13:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Logitech\SetPoint II\SetPointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-21 21:22:17 - machine was rebooted [Uncle Doc]
ComboFix-quarantined-files.txt 2008-05-21 19:22:12

20 Verzeichnis(se), 92,064,559,104 Bytes frei
23 Verzeichnis(se), 92,259,594,240 Bytes frei

424

UncleDoc · 22.05.2008, 00:19

7) SASW- überprüfung hat sich nach 30 Min. Suchlauf nicht mehr gerührt, hat leider funktioniert!!

8) Malewarebytes- check durchgeführt!

9) ESET Online Scanner, lies sich keine Log öffnen, nur das Feld des Druckens...print eben. Sorry aber ich weis ja das es wichtig ist alles zu machen was ihr schreibt !!

Hab den 2 mal über jeweils 1,5 Std. laufen lassen!

10) cCleaner durchgeführt

11) der eScan Link funzt nicht, daher hab ich so geladen und zu einem "na ja Ergbniss" gekommen. Keine Ahnung ob das richtig ist, die Log ist auch fast 1 MB groß, das ist doch komisch oder?

12) HiJackThis Log

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

UncleDoc · 22.05.2008, 00:21

12) Teil zwei:

iClean Bericht:

iclean log 22.05.2008 01:17:41

Windows XP SP3, Using advanced Kernel functions

Processes
---------
1176 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1232 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1256 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1304 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1324 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1504 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1596 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1644 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1672 - StyleXPService. - StyleXPService.
1744 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1812 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
184 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
320 - AppleMobileDevi - AppleMobileDevi
496 - mDNSResponder.e - mDNSResponder.e
564 - GoogleUpdaterSe - GoogleUpdaterSe
652 - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe - Machine Debug Manager
696 - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe - Windows ZC Control Service
732 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 169.21
864 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
916 - C:\WINDOWS\System32\wdfmgr.exe - Windows User Mode Driver Manager
1132 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
1768 - C:\WINDOWS\WEMBG.EXE - Cypress USB Mass Storage Driver Background Application
1796 - C:\Programme\Macrogaming\SweetIM\SweetIM.exe - SweetIM MSN Messenger Enhancer
1880 - C:\WINDOWS\SOUNDMAN.EXE - Realtek Sound Manager
2088 - C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe - Logitech G-series Profiler (Signed)
2104 - C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe - Logitech LCD Manager (Signed)
2124 - iTunesHelper.ex - iTunesHelper.ex
2132 - C:\WINDOWS\system32\rundll32.exe - Eine DLL-Datei als Anwendung ausführen
2172 - C:\Programme\DAEMON Tools\daemon.exe - Virtual DAEMON Manager (Signed)
2224 - C:\WINDOWS\system32\rundll32.exe - Eine DLL-Datei als Anwendung ausführen
2336 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2380 - C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe - C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
2468 - C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe - Logitech G-series LCD Clock (Signed)
2532 - C:\Programme\ICQ6\ICQ.exe - ICQ Library (Signed)
2552 - C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe - Logitech G-series Media Display (Signed)
2796 - GoogleUpdater.e - GoogleUpdater.e
2832 - LogitechDesktop - LogitechDesktop
2860 - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe - Privoxy
2892 - C:\Programme\Logitech\SetPoint II\SetpointII.exe - Logitech SetPoint EventManager
2996 - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE - Logitech KHAL Main Process (Signed)
3080 - C:\PROGRA~1\INCRED~1\bin\IMApp.exe - IncrediMail Application
3236 - C:\Programme\iPod\bin\iPodService.exe - iPodService Module (Signed)
3812 - C:\Programme\Vidalia Bundle\Tor\tor.exe - C:\Programme\Vidalia Bundle\Tor\tor.exe
1720 - C:\WINDOWS\explorer.exe - Windows Explorer
1080 - C:\Programme\Winamp\winamp.exe - Winamp
2788 - C:\PROGRA~1\eScan\TRAYSSER.EXE - eScan Service Controller for TRAYICOS
2612 - C:\PROGRA~1\eScan\consctl.exe - Application Blocker
660 - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE - MWAgent Service
872 - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe - MicroWorld Agent
1920 - C:\PROGRA~1\eScan\VISTA\avpmapp.exe - eScan File Monitoring System
2808 - SCANNINGPROCESS - SCANNINGPROCESS
508 - C:\PROGRA~1\eScan\TRAYICOS.EXE - eScan Updater - Server
2476 - C:\PROGRA~1\eScan\Vista\escanmon.exe - eScan Monitor
2308 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
996 - H:\Treiber\Security\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe=Apple Mobile Device
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
c:\programme\bonjour\mdnsresponder.exe=Bonjour Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
c:\programme\google\common\google updater\googleupdaterservice.exe=gusvc
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
c:\programme\ipod\bin\ipodservice.exe=iPod Service
C:\WINDOWS\system32\svchost.exe=Irmon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe=MDM
c:\programme\gemeinsame dateien\marmiko shared\mzccntrl.exe=MZCCntrl
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=stisvc
c:\programme\tgtsoft\stylexp\stylexpservice.exe=StyleXPService
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=UxTuneUp
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\progra~1\escan\traysser.exe=eScan-trayicos
c:\programme\gemeinsame dateien\microworld\agent\mwaser.exe=MWAgent
c:\progra~1\escan\vista\avpmapp.exe=eScan Monitor Service

Registry
--------
000=HKCU\Run: HuaWeiEVDO.exe="c:\programme\o2\surf box mini\o2 surf box mini.exe"
000=HKCU\Run: ICQ="c:\programme\icq6\icq.exe" silent
000=HKCU\Run: IncrediMail=c:\programme\incredimail\bin\incmail.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKCU\Run: Vidalia="c:\programme\vidalia bundle\vidalia\vidalia.exe"
000=HKLM\Run: AVP="c:\programme\kaspersky lab\kaspersky internet security 7.0\avp.exe"
000=HKLM\Run: DAEMON Tools="c:\programme\daemon tools\daemon.exe" -lang 1033
000=HKLM\Run: eScan Updater=c:\progra~1\escan\trayicos.exe /app
000=HKLM\Run: HPDJ Taskbar Utility=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
000=HKLM\Run: iTunesHelper="c:\programme\itunes\ituneshelper.exe"
000=HKLM\Run: Kernel and Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: Launch LCDMon="c:\programme\logitech\gamepanel software\lcd manager\lcdmon.exe"
000=HKLM\Run: Launch LGDCore="c:\programme\logitech\gamepanel software\g-series software\lgdcore.exe" /showhide
000=HKLM\Run: MailScan Dispatcher="c:\progra~1\escan\launch.exe" /startup
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: SoundMan=c:\windows\soundman.exe
000=HKLM\Run: SW20=c:\windows\system32\sw20.exe
000=HKLM\Run: SW24=c:\windows\system32\sw24.exe
000=HKLM\Run: SweetIM=c:\programme\macrogaming\sweetim\sweetim.exe
000=HKLM\Run: WebCam Go Plus Sti Service Application=wcgopsvc
000=HKLM\Run: WEMBG=c:\windows\wembg.exe
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\PROGRA~1\eScan\DOWNLOAD.EXE=c:\progra~1\escan\download.exe
001=Firewall bypass: C:\PROGRA~1\eScan\LICENSE.EXE=c:\progra~1\escan\license.exe
001=Firewall bypass: C:\PROGRA~1\eScan\MAILADM.EXE=c:\progra~1\escan\mailadm.exe
001=Firewall bypass: C:\PROGRA~1\eScan\TRAYICOS.EXE=c:\progra~1\escan\trayicos.exe
001=Firewall bypass: C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE=c:\progra~1\gemein~1\microw~1\agent\mwagent.exe
001=Firewall bypass: C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE=c:\progra~1\gemein~1\microw~1\escanrad\escanrad.exe
001=Firewall bypass: C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe=c:\programme\activision\call of duty 4 - modern warfare\iw3mp.exe
001=Firewall bypass: C:\Programme\Bonjour\mDNSResponder.exe=c:\programme\bonjour\mdnsresponder.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe=c:\programme\electronic arts\crytek\crysis\bin32\crysis.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe=c:\programme\electronic arts\crytek\crysis\bin32\crysisdedicatedserver.exe
001=Firewall bypass: C:\Programme\eMule\emule.exe=c:\programme\emule\emule.exe
001=Firewall bypass: C:\Programme\Gemeinsame Dateien\Nero\Nero Web\SetupX.exe=c:\programme\gemeinsame dateien\nero\nero web\setupx.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\IMApp.exe=c:\programme\incredimail\bin\imapp.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\ImpCnt.exe=c:\programme\incredimail\bin\impcnt.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\IncMail.exe=c:\programme\incredimail\bin\incmail.exe
001=Firewall bypass: C:\Programme\iTunes\iTunes.exe=c:\programme\itunes\itunes.exe
001=Firewall bypass: C:\Programme\LimeWire\LimeWire.exe=c:\programme\limewire\limewire.exe
001=Firewall bypass: C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe=c:\programme\logitech\desktop messenger\8876480\program\logitechdesktopmessenger.exe
001=Firewall bypass: C:\Programme\Messenger\msmsgs.exe=c:\programme\messenger\msmsgs.exe
001=Firewall bypass: C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe=c:\programme\netgear\wg111v2 configuration utility\rtwlan.exe
001=Firewall bypass: C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe=c:\programme\sisoftware\sisoftware sandra lite xiic\rpcsandrasrv.exe
001=Firewall bypass: C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe=c:\programme\sisoftware\sisoftware sandra lite xiic\win32\rpcdatasrv.exe
001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe
001=Firewall bypass: C:\Programme\Ubisoft\Ghost Recon Advanced Warfighter 2\graw2.exe=c:\programme\ubisoft\ghost recon advanced warfighter 2\graw2.exe
001=Firewall bypass: C:\Programme\Ubisoft\Ghost Recon Advanced Warfighter 2\graw2_dedicated.exe=c:\programme\ubisoft\ghost recon advanced warfighter 2\graw2_dedicated.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrA.exe=c:\windows\system32\pnkbstra.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrB.exe=c:\windows\system32\pnkbstrb.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {02478D38-C3F9-4EFB-9B51-7695ECA05670}=c:\programme\yahoo!\companion\installs\cpn\yt.dll (Yahoo! Toolbar Helper)
030=BHO: {4CA8ED4F-D48F-4147-AF06-BF4517B9DAF0}=(null) ()
030=BHO: {A547D2C2-7722-4953-B8A7-5548E75A8901}=(null) ()
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll (Google Toolbar Helper)
030=BHO: {AE7CD045-E861-484f-8273-0445EE161910}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll (AcroIEToolbarHelper Class)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.1.615.5858\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar1.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=c:\progra~1\icqtoo~1\toolbaru.dll
031=Toolbar: {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}=(null)
031=Toolbar: {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}=c:\programme\winamp toolbar\winamptb.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll
031=Toolbar: {855F3B16-6D32-4fe6-8A56-BBB695989046}=c:\progra~1\icqtoo~1\toolbaru.dll
031=Toolbar: {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}=c:\programme\winamp toolbar\winamptb.dll
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\programme\yahoo!\companion\installs\cpn\yt.dll

Startup Folders
---------------
Common: autorunsdisabled
Common: desktop.ini
Common: google updater.lnk -> C:\PROGRA~1\Google\GOOGLE~3\GOOGLE~1.EXE
Common: logitech desktop messenger.lnk -> C:\PROGRA~1\Logitech\DESKTO~1\8876480\Program\LOGITE~1.EXE
Common: privoxy.lnk -> C:\PROGRA~1\VIDALI~1\Privoxy\privoxy.exe
Common: setpointii.lnk -> C:\PROGRA~1\Logitech\SETPOI~1\SETPOI~1.EXE
Personal: AutorunsDisabled
Personal: desktop.ini

HOSTS
-----
127.0.0.1 localhost

Ich hoffe sehr stark das es was gebracht hat...mach jetz nach 7 Stunden Schluß.

Vielen Dank Chris

undoreal · 22.05.2008, 08:56

Es gibt einiges zu tun für dich.

Nutzt du eigentlich zwei AntiViren Programme? Die behindern sich gegenseitig! Deinstalliere Symantec/Norton!

Hast du ein Remote Administration Tool auf deinem Rechner am laufen??

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\mllmj.dll
C:\WINDOWS\system32\shemlstyle.dll
C:\WINDOWS\system32\jvkfrouk.dll
C:\WINDOWS\system32\mhrenfnx.dll
C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_0 1005.Wdf
C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\System32\sw24.exe
C:\WINDOWS\System32\sw20.exe
C:\WINDOWS\system32\Suchspur.dll
C:\WINDOWS\system32\sstts.dll
C:\WINDOWS\System32\dimsntfy.dll
C:\WINDOWS\system32\D3DCompiler_36.dll
C:\WINDOWS\system32\d3dx10_36.dll
C:\WINDOWS\system32\xactengine2_10.dll
C:\WINDOWS\system32\d3dx9_36.dll
C:\WINDOWS\imsins.BAK
C:\WINDOWS\system32\ezsidmv.dat
C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
C:\WINDOWS\system32\67F8008A2B.dll
C:\WINDOWS\system32\Drivers\BRGSp50.sys
C:\WINDOWS\system32\DRIVERS\Wcgo phal.sys
C:\WINDOWS\system32\DRIVERS\Wcgopvid.sys
C:\WINDOWS\system32\DRIVERS\WEMFX_AT.SYS
C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe=c:\programme\sisoftware\siso ftware sandra lite xiic\rpcsandrasrv.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Durchsuche deinen Rechner bitte wie in meiner Sigantur beschrieben wird nach folgenden Dateien: NWEReboot ,

PS: von iClean wird eine Bechreibung für die WEMBG ausgegeben:

Zitat:

1768 - C:\WINDOWS\WEMBG.EXE - Cypress USB Mass Storage Driver Background Application

mal gucken was Kaspersky dazu sagt..

UncleDoc · 22.05.2008, 18:26

Hallo,

ob ich zwei Virenprogramme habe?!

Ich hab ja min. 5 Stück z. Zt. durch diese ganzen Check´s die ich machen sollte !! Was soll ich jetz mit denen machen, bis vor kurzem hatte ich Antivir...find ich noch am einfachsten zu benutzen.

Ist der wieder zu empfehlen und was mit den Prog. von s.o ?!
Und Norton habe ich nicht, bzw. noch nie gehabt...!
Keine Ahnung wie ihr drauf kommt?!

So und mit dem Avenger war ja noch am einfachsten, hier die Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\mllmj.dll" not found!
Deletion of file "C:\WINDOWS\system32\mllmj.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\shemlstyle.dll" not found!
Deletion of file "C:\WINDOWS\system32\shemlstyle.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\jvkfrouk.dll" not found!
Deletion of file "C:\WINDOWS\system32\jvkfrouk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\mhrenfnx.dll" not found!
Deletion of file "C:\WINDOWS\system32\mhrenfnx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_0 1005.Wdf" not found!
Deletion of file "C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_0 1005.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf" not found!
Deletion of file "C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Und bei Virustotal, wie funzt das??

Einen Pfad wurde mir geschrieben, WELCHEN??
Alle die unter Zitat in dem Kasten stehen??

Wenn ja, hochladen= senden und dann "letzte Ergebnisse" oder "Datei analysieren" ??

Und wie bekomme ich dann die Ergebnisse von allen, wenn nötig, zusammen??
Lässt sich im Menü doch gar nicht machen...oder jeden einzeln?

UncleDoc · 22.05.2008, 19:00

Onlineprüfung mit Virustotal hab ich hin bekommen, nur HASH Angaben finde ich nicht!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 -
BitDefender 7.2 2008.05.22 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.22 -
DrWeb 4.44.0.09170 2008.05.22 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5808 2008.05.21 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 -
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.22 -
Ikarus T3.1.1.26.0 2008.05.22 -
Kaspersky 7.0.0.125 2008.05.22 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.22 -
NOD32v2 3122 2008.05.22 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.22 -
Prevx1 V2 2008.05.22 -
Rising 20.45.32.00 2008.05.22 -
Sophos 4.29.0 2008.05.22 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.22 -
TheHacker 6.2.92.317 2008.05.22 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.22 -
Webwasher-Gateway 6.6.2 2008.05.22 -
weitere Informationen
File size: 33536 bytes
MD5...: 25407685d7e10104ea7b8113bd2361f7
SHA1..: 16958e040e913897278c4fee6d7d3f7f244386bd
SHA256: 7bdb4b85f2fe5acff2ad628ceb27cc7140bf4520c0e599ff8bb4393df003ede3
SHA512: c5dbed7666aa82fc9e3c2aeb89ff9f75d3cc7f69d624fd9e54b8261bf7c2eec8
a101289c8e60a122797361e8814e8b0afc77910276c7c15e1c62a5c7a1dd499c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x105f8
timedatestamp.....: 0x41b541da (Tue Dec 07 05:38:34 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x6bf4 0x6c00 6.52 9e2fde9de8aa70cc54c92d3e4ad82f44
.rdata 0x6f00 0x1b4 0x200 3.92 60a4988d39dd4f1b56360a07e507ca3c
.data 0x7100 0x4c 0x80 1.15 13189e52ef213f0a732f1fe9902e51df
INIT 0x7180 0x700 0x700 5.20 a2c3d32a6eaea4285672947c829d84f7
.rsrc 0x7880 0x408 0x480 3.14 0f37bd67512a255430bb7dbb98e2e557
.reloc 0x7d00 0x600 0x600 6.22 6ac9fd9d4d043696f1aa26b3939f65ea

( 3 imports )
> ntoskrnl.exe: IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoInitializeTimer, KeInitializeSpinLock, IoAttachDeviceToDeviceStack, IoCreateDevice, IofCompleteRequest, _wcsnicmp, wcslen, PoRegisterDeviceForIdleDetection, IoStopTimer, IoDetachDevice, ExFreePool, IoDeleteDevice, KeSetEvent, InterlockedDecrement, ObfReferenceObject, ExAllocatePoolWithTag, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, ZwClose, IoOpenDeviceRegistryKey, IoStartTimer, PoCallDriver, PoStartNextPowerIrp, RtlInitString, IoStartNextPacket, KeClearEvent, InterlockedIncrement, ExQueueWorkItem, IoStartPacket, IoCancelIrp, IoBuildSynchronousFsdRequest, IoReleaseCancelSpinLock, InterlockedExchange, IoAcquireCancelSpinLock, KeRemoveEntryDeviceQueue, ZwQueryValueKey, ZwSetValueKey, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, memmove, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoBuildPartialMdl, RtlInitUnicodeString, RtlUnicodeStringToAnsiString, RtlFreeUnicodeString, IoAllocateIrp, KeInitializeEvent, IofCallDriver, KeWaitForSingleObject, PoRequestPowerIrp, IoFreeIrp, _except_handler3
> HAL.dll: KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock, KfLowerIrql
> USBD.SYS: USBD_GetUSBDIVersion, _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28

( 0 exports )

Was soll ich mit "NWEReboot" machen?? Systemsuche??

Hab ich mal gemacht, nix gefunden...!

Und " C:\WINDOWS\WEMBG.EXE " hab ich bei Kaspersky durchlaufen lassen, ohne Erfolg, also ohne Meldung !