Backdoor Agent ARK geht nicht weg

badman19 · 15.07.2008, 06:19

Hallo Leute
Ich habe ein Problem.... seid einiger zeit habe ich einen großen schädling aufm PC... der öffnet immer wieder iexplorer mit werbung und läst so kurze sound geräuche immer erklingen alle paar min ca. der prozess der das verursacht ist 2Ife6rem.exe im System32 Ordner
Spyware Doctor erkennt ihn als Backdoor.Agent.ARK - beseitigt ihn - kommt aber immer wieder...

hier mal hijack log

:

Logfile of HijackThis v1.99.1
Scan saved at 07:15:59, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\FTPRush\ftprush.exe
C:\Dokumente und Einstellungen\**********\Desktop\**********\IRC-ScRiPt-2\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\2Ife6rem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SkypeCryptoChat] "C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV\lfcr..tion_5ec75c53587d555c_0001.0000_208fa6fb73ba7a14\LFCryptoChat4Skype.exe" /nostart
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

hoffe mir kann wer helfen ihn los zu werden

**Sunny** · 15.07.2008, 15:25

Hallo badman19 und

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\2Ife6rem.exe
C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV\l fcr..tion_5ec75c53587d555c_0001.0000_208fa6fb73ba7 a14\LFCryptoChat4Skype.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

badman19 · 15.07.2008, 15:50

Hallo
Schonmal danke für die Hilfe!

nun die scans

Datei 2Ife6rem.exe empfangen 2008.07.15 16:38:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/33 (60.61%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.64 2008.07.15 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.15 Generic10.BBXO
BitDefender 7.2 2008.07.15 GenPack:Trojan.Agent.AJEQ
CAT-QuickHeal 9.50 2008.07.14 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.14 Win32.Agent.vyy
eTrust-Vet 31.6.5956 2008.07.15 Win32/AdClicker.HF
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 Trojan-Downloader.Win32.Agent.vyy
Fortinet 3.14.0.0 2008.07.15 W32/Agent.VYY!tr.dldr
GData 2.0.7306.1023 2008.07.15 Trojan-Downloader.Win32.Agent.vyy
Ikarus T3.1.1.26.0 2008.07.15 Trojan.Crypt.ULPM
Kaspersky 7.0.0.125 2008.07.15 Trojan-Downloader.Win32.Agent.vyy
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 Trojan:Win32/Adclicker.KU
NOD32v2 3269 2008.07.15 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.07.15 W32/Smalltroj.FJKA
Panda 9.0.0.4 2008.07.14 Suspicious file
Prevx1 V2 2008.07.15 Malicious Software
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 Mal/HckPk-A
Sunbelt 3.1.1536.1 2008.07.15 Trojan.Crypt.ULPM.Gen
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 TROJ_AGENT.AKGN
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330
d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4141f9
timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29
UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66

und die 2 datei kann ich net uploaden den pfad gibt es nicht (mehr?)
nur bis:
C:\Dokumente und Einstellungen\USHMSSJ\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV und dann ist dort ein manifests ordner der jedoch leer ist

falls ich das nur chekcen soll weill dus nicht kennst es ist ein Crypt Prog für Skype damit alles verschlüsselt geschieht in skype habe es aber vorgestern oder so wieder deinstalled....

Ich Poste das hier schonmal.... Makware läuft noch kann was dauern pladde net mehr die neuste

badman19 · 15.07.2008, 16:46

sooo
nun malware log

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 951
Windows 5.1.2600 Service Pack 2

17:44:32 15.07.2008
mbam-log-7-15-2008 (17-44-32).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 115316
Scan Dauer: 49 minute(s), 10 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\USHMSSJ\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.

und filelist:

Verzeichnis von C:\

14.07.2008 17:12 1.610.612.736 pagefile.sys
11.07.2008 00:42 31.287 automation3-scripts-r421.zip
26.06.2008 16:08 212.954 MSDELog.log
30.03.2008 15:05 1.393.959 ProgEdit_1.111.rar
30.03.2008 14:07 34 ProgDVB.ini
07.03.2008 21:42 223 boot.ini

Verzeichnis von C:\WINDOWS\system32

15.07.2008 02:29 35.842 2Ife6rem.exe
14.07.2008 17:59 448.248 perfh009.dat
14.07.2008 17:59 82.490 perfc009.dat
14.07.2008 17:59 451.460 perfh007.dat
14.07.2008 17:59 90.494 perfc007.dat
14.07.2008 17:59 1.087.456 PerfStringBackup.INI
14.07.2008 17:11 31.137 OODBS.lor
13.07.2008 19:19 2.206 wpa.dbl
12.07.2008 14:09 382.424 FNTCACHE.DAT
11.07.2008 14:40 29.760 Qrfno8w7.exe
26.06.2008 16:08 2.214.094 MSDELog.log
20.06.2008 06:40 351.744 avisynth.dll
07.06.2008 11:18 9.282 Pvt.tmp
07.06.2008 11:18 34.308 Chip.dll
16.05.2008 11:58 12.632 lsdelete.exe
07.03.2008 20:48 138.558 TZLog.log
31.01.2008 16:38 34.308 BASSMOD.dll

Verzeichnis von C:\WINDOWS\Prefetch

15.07.2008 17:47 82.952 NOTEPAD.EXE-2F2D61E1.pf
15.07.2008 17:47 110.294 WINRAR.EXE-1A0EFB18.pf
15.07.2008 17:47 16.818 CMD.EXE-034B0549.pf
15.07.2008 17:47 19.218 VERCLSID.EXE-28F52AD2.pf
15.07.2008 17:47 128.926 VLC.EXE-2584CE07.pf
15.07.2008 17:16 82.764 FIREFOX.EXE-28BE8AE1.pf
15.07.2008 17:11 24.010 TASKMGR.EXE-06144C13.pf
15.07.2008 17:11 64.592 IEXPLORE.EXE-360BBB5C.pf
15.07.2008 17:11 21.672 DRWTSN32.EXE-01DDCF15.pf
15.07.2008 17:00 23.536 QRFNO8W7.EXE-3B783162.pf
15.07.2008 17:00 10.954 2IFE6REM.EXE-34195B3C.pf
15.07.2008 07:15 54.570 HIJACKTHIS.EXE-32795687.pf
15.07.2008 07:13 90.406 SKYPEPM.EXE-1D416A14.pf
15.07.2008 07:11 45.218 WMIPRVSE.EXE-0D449B4F.pf
15.07.2008 07:11 84.012 SKYPE.EXE-0D322358.pf
15.07.2008 07:09 41.576 PAMELAPCR.EXE-1847D9CD.pf
15.07.2008 02:30 38.394 WLLOGINPROXY.EXE-037D8997.pf
15.07.2008 01:34 39.680 MSCONFIG.EXE-1EF1EA0F.pf
15.07.2008 01:15 141.208 WMPLAYER.EXE-017735B3.pf
15.07.2008 00:58 37.448 NFOVIEWER.EXE-079EF178.pf
15.07.2008 00:57 65.568 PROGDVB.EXE-19A93FDD.pf
15.07.2008 00:15 59.018 EXPLORER.EXE-02121B1A.pf
14.07.2008 23:52 15.886 RUNDLL32.EXE-6E8D4657.pf
14.07.2008 23:24 36.116 RUNDLL32.EXE-3C500167.pf
14.07.2008 21:43 86.652 MPLAYERC.EXE-2358BB3A.pf
14.07.2008 17:55 68.188 CLEANMGR.EXE-31B430FE.pf
14.07.2008 17:38 79.868 USNSVC.EXE-250F009C.pf
14.07.2008 17:37 71.666 MSNMSGR.EXE-19DA9081.pf
14.07.2008 17:37 65.710 ICQ.EXE-12D03E8D.pf
14.07.2008 17:26 62.312 MIRC.EXE-20220265.pf
14.07.2008 17:26 14.494 AGENTSVR.EXE-260B72BD.pf
14.07.2008 17:25 69.752 FTPRUSH.EXE-114B177E.pf
14.07.2008 17:15 26.614 WMIAPSRV.EXE-02740A4B.pf
14.07.2008 17:15 24.252 CSC.EXE-08AD7008.pf
14.07.2008 17:15 8.968 CVTRES.EXE-1404C725.pf
14.07.2008 17:14 52.574 CSC.EXE-22F6101C.pf
14.07.2008 17:14 4.822 CVTRES.EXE-16681F8A.pf
14.07.2008 17:14 61.628 CLI.EXE-124F2D43.pf
14.07.2008 17:14 15.426 KHALMNPR.EXE-38F17899.pf
14.07.2008 17:14 33.286 STRMSERVER.EXE-1E5E0310.pf
14.07.2008 17:14 23.928 RAPIMGR.EXE-23D77446.pf
14.07.2008 17:14 17.812 KEM.EXE-2281F148.pf
14.07.2008 17:14 32.168 PMSHOST.EXE-0EEAEDDB.pf
14.07.2008 16:46 25.156 WCESCOMM.EXE-1136DA72.pf
14.07.2008 16:46 17.650 CTFMON.EXE-05E57A5E.pf
14.07.2008 16:46 24.018 TEATIMER.EXE-08FD41B0.pf
14.07.2008 16:46 21.104 ULTRAMONTASKBAR.EXE-082D8782.pf
14.07.2008 16:46 7.850 VPLUS.EXE-1B157ECB.pf
14.07.2008 16:46 17.922 LANGUAGE.EXE-0C543E78.pf
14.07.2008 16:46 8.284 CLONECDTRAY.EXE-3351FC4F.pf
14.07.2008 16:46 20.690 ULTRAMONDESKTOP.EXE-264AC690.pf
14.07.2008 16:46 17.724 ULTRAMON.EXE-3255C822.pf
14.07.2008 16:46 8.826 E_FATIACE.EXE-363C0927.pf
14.07.2008 16:46 13.964 G15NETSPEED.EXE-0517EB80.pf
14.07.2008 16:46 20.712 LCDCLOCK.EXE-0EFDF953.pf
14.07.2008 16:46 5.644 KHALMNPR.EXE-39603A2C.pf
14.07.2008 16:46 17.750 LCDMON.EXE-01D74F95.pf
14.07.2008 16:46 21.818 LGDCORE.EXE-3B7A1B10.pf
14.07.2008 16:46 12.834 SOUNDMAN.EXE-2979F3F4.pf
14.07.2008 16:41 79.984 INTEGRATOR.EXE-1B6EF261.pf
14.07.2008 16:37 37.328 MSIEXEC.EXE-330626DC.pf
14.07.2008 16:33 25.330 WUAUCLT.EXE-1360D60A.pf
14.07.2008 08:06 118.364 VIRTUA~1.EXE-21387CF7.pf
14.07.2008 01:37 110.252 BESWEET.EXE-22AC334A.pf
13.07.2008 22:58 74.108 PREIT!.EXE-0D689D9C.pf
13.07.2008 21:59 38.308 AVICODEC.EXE-151B161F.pf
13.07.2008 20:23 47.482 VIRTUALDUBMOD.EXE-10117B2A.pf
13.07.2008 20:19 57.586 UNINSTALL.EXE-2C8717CF.pf
13.07.2008 20:12 4.028 CLHELPER.EXE-087EBDCB.pf
13.07.2008 20:12 9.108 OLRSTATECHECK.EXE-2ACB7E03.pf
13.07.2008 20:12 65.474 POWERDVD.EXE-28BB77AA.pf
13.07.2008 20:12 7.326 CLDRVCHK.EXE-16E0D625.pf
13.07.2008 20:08 68.132 WINSTYLER.EXE-21145BAF.pf
13.07.2008 20:03 54.588 RUNDLL32.EXE-46633572.pf
13.07.2008 20:00 23.220 DVDDECRYPTER.EXE-18CE5ABF.pf
13.07.2008 19:42 44.712 VLC-0.8.6D-WIN32.EXE-02166C75.pf
13.07.2008 19:39 22.666 LFCRYPTOCHAT4SKYPE.EXE-1C6B985A.pf
13.07.2008 19:34 44.226 WCESMGR.EXE-02A417D3.pf
13.07.2008 19:23 31.744 RUNDLL32.EXE-640707C1.pf
13.07.2008 19:02 29.746 CLONEDVD2.EXE-1770EAD2.pf
13.07.2008 17:53 26.428 RUNDLL32.EXE-6ACB22ED.pf
13.07.2008 17:18 26.348 RUNDLL32.EXE-3C8DC3ED.pf
13.07.2008 15:33 30.856 RUNDLL32.EXE-6A3854AD.pf
13.07.2008 15:29 31.134 RUNDLL32.EXE-7246E04A.pf
13.07.2008 15:24 71.724 DISKCLEANER.EXE-091A7684.pf
13.07.2008 12:45 47.958 PHP.EXE-3792CBD3.pf
13.07.2008 03:02 31.246 RUNDLL32.EXE-6F8C5367.pf
12.07.2008 19:45 31.246 RUNDLL32.EXE-7418FE7A.pf
12.07.2008 19:42 31.246 RUNDLL32.EXE-4324B528.pf
12.07.2008 19:14 31.444 RUNDLL32.EXE-6861295B.pf
12.07.2008 19:14 38.034 LK7Y45SV.EXE-29D74B8F.pf
12.07.2008 17:15 55.830 TS_WINLIRC.EXE-1C613351.pf
12.07.2008 17:15 55.974 DVBVIEWER.EXE-07E9CCC2.pf
12.07.2008 17:14 31.564 RUNDLL32.EXE-67F8C23A.pf
12.07.2008 17:14 37.678 6V6OFVVI.EXE-2304265A.pf
12.07.2008 17:13 174.748 ICQSRP.EXE-10AD24C1.pf
12.07.2008 16:42 45.212 RUNDLL32.EXE-671A46AE.pf
12.07.2008 15:20 59.320 SHREDDER.EXE-0F11A438.pf
12.07.2008 15:13 31.444 RUNDLL32.EXE-43EACADE.pf
12.07.2008 15:13 38.194 JR4IJSJM.EXE-2A08FD73.pf
12.07.2008 14:16 28.166 ACROBATINFO.EXE-05DAD044.pf
12.07.2008 14:14 31.724 RUNDLL32.EXE-747D5E61.pf
12.07.2008 14:12 17.248 RUNDLL32.EXE-4F631A9D.pf
12.07.2008 13:53 12.992 THREATWORK.EXE-00C9F0E5.pf
12.07.2008 13:24 31.496 RUNDLL32.EXE-73DD0D55.pf
12.07.2008 13:23 36.878 DW20.EXE-0515B312.pf
12.07.2008 13:10 30.872 AD-AWARE.EXE-22291502.pf
12.07.2008 13:10 42.024 AAWSERVICE.EXE-03154300.pf
12.07.2008 13:09 62.758 LSUPDATEMANAGER.EXE-1E75670C.pf
12.07.2008 13:09 24.414 AAWLIC.EXE-060397F0.pf
12.07.2008 13:07 15.144 AAW2008_10.EXE-0D9B5A23.pf
12.07.2008 13:00 28.876 RUNDLL32.EXE-464B4040.pf
12.07.2008 12:57 27.418 SQLSERVR.EXE-27696FD7.pf
12.07.2008 12:56 64.806 VEGAS60.EXE-13B08EA1.pf
12.07.2008 12:27 31.830 RUNDLL32.EXE-70700D75.pf
12.07.2008 12:00 28.868 RUNDLL32.EXE-48FB7385.pf
12.07.2008 10:03 40.438 DFRGNTFS.EXE-38C3807C.pf
12.07.2008 10:03 20.778 DEFRAG.EXE-2858C7E2.pf
12.07.2008 10:03 253.256 Layout.ini
12.07.2008 08:20 28.260 RUNDLL32.EXE-4F92A04F.pf
12.07.2008 08:11 32.312 RUNDLL32.EXE-4C57BC0C.pf
12.07.2008 08:00 29.128 RUNDLL32.EXE-4B6FAC22.pf
12.07.2008 07:59 59.794 HELPSVC.EXE-1C192440.pf
12.07.2008 07:53 31.222 RUNDLL32.EXE-41FC4301.pf
12.07.2008 07:51 36.042 RUNDLL32.EXE-3BF155F0.pf
12.07.2008 02:22 14.264 FROZEN THRONE.EXE-1B195BC0.pf
12.07.2008 02:22 68.958 WAR3.EXE-1F756F11.pf
12.07.2008 00:11 93.700 WMPLAYER.EXE-017735B4.pf
11.07.2008 14:55 68.202 WMPLAYER.EXE-017735B2.pf
10.08.2006 23:17 338.380 NTOSBOOT-B00DFAAD.pf
130 Datei(en) 5.968.490 Bytes
0 Verzeichnis(se), 121.643.008 Bytes frei

Verzeichnis von C:\WINDOWS

15.07.2008 17:15 60.416 ALCFDRTM.VER
15.07.2008 14:00 32.466 SchedLgU.Txt
15.07.2008 01:15 116 NeroDigital.ini
14.07.2008 23:44 857 win.ini
14.07.2008 17:54 60 setupact.log
14.07.2008 17:13 159 wiadebug.log
14.07.2008 17:13 50 wiaservc.log
14.07.2008 17:13 0 TempFile
14.07.2008 17:12 0 0.log
14.07.2008 17:12 2.048 bootstat.dat
14.07.2008 17:08 90.098 WindowsUpdate.log
13.07.2008 21:21 140 MenuEdit.INI
01.07.2008 20:33 69.123 War3Unin.dat
01.07.2008 19:04 2.829 War3Unin.pif
01.07.2008 19:04 139.264 War3Unin.exe
26.06.2008 14:07 63 PixieTool.INI

Verzeichnis von C:\WINDOWS\tasks

15.07.2008 17:00 354 At90.job
15.07.2008 17:00 354 At18.job
15.07.2008 16:34 354 At89.job
15.07.2008 16:00 354 At17.job
15.07.2008 15:00 354 At88.job
15.07.2008 15:00 354 At16.job
15.07.2008 14:00 354 At87.job
15.07.2008 14:00 354 At15.job
15.07.2008 13:00 354 At86.job
15.07.2008 13:00 354 At14.job
15.07.2008 12:00 354 At85.job
15.07.2008 12:00 354 At13.job
15.07.2008 11:00 354 At84.job
15.07.2008 11:00 354 At12.job
15.07.2008 10:00 354 At83.job
15.07.2008 10:00 354 At11.job
15.07.2008 09:00 354 At82.job
15.07.2008 09:00 354 At10.job
15.07.2008 08:00 354 At81.job
15.07.2008 08:00 354 At9.job
15.07.2008 07:00 354 At80.job
15.07.2008 07:00 354 At8.job
15.07.2008 06:00 354 At79.job
15.07.2008 06:00 354 At7.job
15.07.2008 05:00 354 At78.job
15.07.2008 05:00 354 At6.job
15.07.2008 04:00 354 At77.job
15.07.2008 04:00 354 At5.job
15.07.2008 03:00 354 At76.job
15.07.2008 03:00 354 At4.job
15.07.2008 02:29 354 At96.job
15.07.2008 02:29 354 At95.job
15.07.2008 02:29 354 At94.job
15.07.2008 02:29 354 At93.job
15.07.2008 02:29 354 At92.job
15.07.2008 02:29 354 At91.job
15.07.2008 02:29 354 At73.job
15.07.2008 02:29 354 At74.job
15.07.2008 02:29 354 At75.job
15.07.2008 02:00 354 At3.job
15.07.2008 01:00 354 At2.job
15.07.2008 00:07 354 At1.job
14.07.2008 23:00 354 At24.job
14.07.2008 22:00 354 At23.job
14.07.2008 21:00 354 At22.job
14.07.2008 20:00 354 At21.job
14.07.2008 19:00 354 At20.job
14.07.2008 18:00 354 At19.job
14.07.2008 17:12 6 SA.DAT
11.07.2008 17:15 400 1-Klick-Wartung.job
11.11.2004 14:00 65 desktop.ini
51 Datei(en) 17.463 Bytes
0 Verzeichnis(se), 121.638.912 Bytes frei

Verzeichnis von C:\WINDOWS\temp

15.07.2008 01:01 5.858 Eh61D722.dat
15.07.2008 00:41 5.880 e7EDdQDL.dat
14.07.2008 21:05 144 5Gdc0pck.dat
14.07.2008 17:14 49.152 CompiledAdapter.dll
14.07.2008 17:13 0 Perflib_Perfdata_5bc.dat
13.07.2008 22:02 72 Mp61L722.dat
13.07.2008 19:38 16.384 Perflib_Perfdata_5c4.dat
13.07.2008 19:20 16.384 Perflib_Perfdata_5d4.dat
12.07.2008 14:10 16.384 Perflib_Perfdata_3c8.dat
12.07.2008 13:12 16.384 Perflib_Perfdata_1cc8.dat
07.07.2008 13:52 16.384 Perflib_Perfdata_58c.dat
22.06.2008 22:24 16.384 Perflib_Perfdata_b14.dat

Verzeichnis von C:\DOKUME~1\USHMSSJ\LOKALE~1\Temp

15.07.2008 17:48 134.710 filelist.txt
15.07.2008 17:17 681.248 flaFD.tmp
15.07.2008 17:17 609.191 flaF6.tmp
15.07.2008 15:41 3.010 Eh61D722.dat
15.07.2008 07:46 512 ~DF33.tmp
15.07.2008 07:46 163.840 ~DF1D.tmp
15.07.2008 02:29 5.385 e7EDdQDL.dat
15.07.2008 01:16 897.048 WCESLog.log
14.07.2008 22:32 278.985 Positionierstck_1_1_7782.bak
14.07.2008 18:25 59.964 AdskCleanup.0001
14.07.2008 17:37 512 ~DF6274.tmp
14.07.2008 17:37 16.384 ~DF6229.tmp
14.07.2008 17:36 512 ~DFEF72.tmp
14.07.2008 17:36 16.384 ~DFEF11.tmp
14.07.2008 17:17 87.508 Setup Log 2008-07-14 #004.txt
14.07.2008 17:15 49.152 CompiledAdapter.dll
14.07.2008 17:14 16.384 Perflib_Perfdata_9f4.dat
14.07.2008 17:14 16.384 Perflib_Perfdata_738.dat
14.07.2008 17:14 375 WCESCOMM.LOG
14.07.2008 17:07 6.367 Setup Log 2008-07-14 #003.txt
14.07.2008 17:06 29.166 Uninstall Log 2008-07-14 #001.txt
14.07.2008 17:06 6.963 Setup Log 2008-07-14 #002.txt
14.07.2008 16:33 71.215 Setup Log 2008-07-14 #001.txt
14.07.2008 16:26 16.384 Perflib_Perfdata_580.dat
14.07.2008 12:15 35.842 HmDG5BNP.exe
13.07.2008 19:50 512 ~DFA1A9.tmp
13.07.2008 19:50 16.384 ~DFA137.tmp
13.07.2008 19:50 512 ~DFCB44.tmp
13.07.2008 19:50 16.384 ~DFC7D5.tmp
13.07.2008 19:39 16.384 Perflib_Perfdata_6fc.dat
13.07.2008 19:39 16.384 Perflib_Perfdata_2a4.dat
13.07.2008 19:38 16.384 Perflib_Perfdata_4e0.dat
13.07.2008 19:35 0 etilqs_excoRgmPHMXcWak
13.07.2008 19:35 0 etilqs_YbM6I0huehUcX5z
13.07.2008 19:35 0 etilqs_7R8b3GK5UDwm4Xm
13.07.2008 19:35 0 etilqs_2WAUzAY5ofZhBqQ
13.07.2008 19:34 903 WCESMgr.log
13.07.2008 19:28 512 ~DF939D.tmp
13.07.2008 19:28 163.840 ~DF919E.tmp
13.07.2008 19:28 512 ~DF503E.tmp
13.07.2008 19:28 163.840 ~DF4EC3.tmp
13.07.2008 19:28 512 ~DF3FA2.tmp
13.07.2008 19:28 16.384 ~DF3EA7.tmp
13.07.2008 19:27 512 ~DF9BD6.tmp
13.07.2008 19:27 16.384 ~DF9BCB.tmp
13.07.2008 19:22 16.384 Perflib_Perfdata_9b4.dat
13.07.2008 19:22 16.384 Perflib_Perfdata_6ec.dat
13.07.2008 19:21 16.384 Perflib_Perfdata_2ec.dat
13.07.2008 19:18 0 etilqs_ChbaAv1ygrNC99N
12.07.2008 17:37 512 ~DFBF46.tmp
12.07.2008 17:37 163.840 ~DFBF21.tmp
12.07.2008 14:43 512 ~DF8E1D.tmp
12.07.2008 14:43 16.384 ~DF8CF8.tmp
12.07.2008 14:43 512 ~DF6323.tmp
12.07.2008 14:43 16.384 ~DF6120.tmp
12.07.2008 14:17 681.248 fla13.tmp
12.07.2008 14:17 609.191 flaF.tmp
12.07.2008 14:15 10.104 WcesView.log
12.07.2008 14:11 16.384 Perflib_Perfdata_644.dat
12.07.2008 14:11 16.384 Perflib_Perfdata_828.dat
12.07.2008 13:23 81 dw.log
12.07.2008 13:07 53.760 196fa870.mst
12.07.2008 12:57 16.384 ~DF394C.tmp
12.07.2008 12:57 693 TWAIN.LOG
12.07.2008 12:57 3 Twain001.Mtx
12.07.2008 12:57 156 Twunk001.MTX
11.07.2008 20:56 216 2Ife6rem.dat
11.07.2008 14:55 4.782 5Gdc0pck.dat
11.07.2008 14:40 29.760 orz.exe
11.07.2008 00:54 29.092 aeg311.tmp.ass
10.07.2008 15:38 16.384 ~DFD61F.tmp
10.07.2008 00:05 124 205B6612.TMP
09.07.2008 20:58 0 Twunk002.MTX
09.07.2008 15:59 59.964 Adobelm_Cleanup.0001
07.07.2008 18:58 22.414.120 SkypeSetup.exe
07.07.2008 16:28 416 java_install_reg.log
07.07.2008 13:55 16.384 Perflib_Perfdata_d50.dat
07.07.2008 13:55 16.384 Perflib_Perfdata_8a4.dat
07.07.2008 13:55 16.384 Perflib_Perfdata_a3c.dat
15.11.2007 13:22 836.976 264dsse2.dll.0.sub1.ms0

**Sunny** · 15.07.2008, 17:05

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

badman19 · 15.07.2008, 17:48

so getan:

ComboFix 08-07-14.2 - BENUTZER 2008-07-15 18:36:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.894 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\BENUTZER\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WIN2000\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WIN98\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WINME\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\DIAG2000\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\DIAG98\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\Linux\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WIN2000\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WIN98\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WinCE\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WINME\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WINXP\_desktop.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 18:33 . 2008-07-15 18:33 0 --a------ C:\WINDOWS\LCDMedia.INI
2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Malwarebytes
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 16:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 16:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 02:29 . 2008-07-15 02:29 35,842 --a------ C:\WINDOWS\system32\2Ife6rem.exe
2008-07-14 17:16 . 2008-07-14 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\PC Tools
2008-07-14 17:16 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-14 17:16 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-14 17:16 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-14 17:16 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-14 17:00 . 2008-07-14 17:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-14 16:30 . 2008-07-15 17:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-14 16:29 . 2008-07-15 04:26 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-13 20:20 . 2008-07-13 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\vlc
2008-07-12 13:09 . 2008-07-12 13:09 <DIR> d-------- C:\Programme\Lavasoft
2008-07-12 13:09 . 2008-07-12 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-11 14:41 . 2008-07-11 14:40 29,760 --a------ C:\WINDOWS\system32\Qrfno8w7.exe
2008-07-11 00:42 . 2008-07-11 00:42 31,287 --a------ C:\automation3-scripts-r421.zip
2008-07-10 21:37 . 2008-07-11 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Aegisub
2008-07-10 21:35 . 2008-07-10 21:36 <DIR> d-------- C:\Programme\Aegisub 2.1.2
2008-07-01 18:56 . 2008-07-01 19:04 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-07-01 18:56 . 2008-07-01 20:33 69,123 --a------ C:\WINDOWS\War3Unin.dat
2008-07-01 18:56 . 2008-07-01 19:04 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-06-26 16:09 . 2000-04-27 12:31 19,456 --------- C:\WINDOWS\system32\asapi.dll
2008-06-26 16:09 . 2002-04-17 20:27 11,264 --------- C:\WINDOWS\system32\drivers\asapiW2k.sys
2008-06-26 16:08 . 1998-11-02 19:57 196,096 --------- C:\WINDOWS\system32\MACD32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 138,752 --------- C:\WINDOWS\system32\MASE32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 136,192 --------- C:\WINDOWS\system32\MAMC32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 57,856 --------- C:\WINDOWS\system32\MASD32.DLL
2008-06-26 16:08 . 2005-11-18 09:51 41,472 --------- C:\WINDOWS\system32\CacheX.dll
2008-06-26 16:08 . 1998-11-02 19:57 27,648 --------- C:\WINDOWS\system32\MA32.DLL
2008-06-26 16:03 . 2008-06-26 16:03 <DIR> d-------- C:\WINDOWS\Cache
2008-06-26 16:03 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2008-06-26 16:03 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2008-06-26 16:02 . 2000-04-11 18:44 85,504 --------- C:\WINDOWS\system32\lame_enc.dll
2008-06-26 16:01 . 2008-06-26 16:01 <DIR> d-------- C:\Programme\Movielink
2008-06-26 14:07 . 2008-06-26 14:07 63 --a------ C:\WINDOWS\PixieTool.INI
2008-06-26 14:05 . 2008-06-26 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Pinnacle Systems
2008-06-26 14:02 . 2002-01-05 13:40 487,424 --------- C:\WINDOWS\system32\MSVCP70.DLL
2008-06-26 14:02 . 2004-11-04 09:54 471,040 --------- C:\WINDOWS\system32\HHActiveX.dll
2008-06-26 14:02 . 2002-01-05 12:18 84,992 --------- C:\WINDOWS\system32\ATL70.DLL
2008-06-26 14:02 . 2002-01-05 13:38 54,784 --------- C:\WINDOWS\system32\MSVCI70.DLL
2008-06-26 14:01 . 2008-06-26 16:03 <DIR> d-------- C:\Programme\Pinnacle
2008-06-26 14:01 . 2008-06-26 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-06-20 06:40 . 2008-06-20 06:40 351,744 --ahs---- C:\WINDOWS\system32\avisynth.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 16:33 --------- d-----w C:\Programme\ICQ
2008-07-15 14:11 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Skype
2008-07-15 14:03 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\skypePM
2008-07-14 15:38 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\dvdcss
2008-07-14 15:36 --------- d-----w C:\Programme\Security Task Manager
2008-07-14 15:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-13 20:59 --------- d-----w C:\Programme\Pre It!
2008-07-13 19:37 --------- d-----w C:\Programme\DVD-RB PRO 1.26.6
2008-07-13 18:42 --------- d-----w C:\Programme\Hard Drive Inspector
2008-07-12 12:02 --------- d-----w C:\Programme\FTPRush
2008-07-12 11:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 19:44 --------- d-----w C:\Programme\Winsubtitler
2008-06-26 14:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-08 19:40 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-06-07 09:18 9,282 ----a-w C:\WINDOWS\system32\Pvt.tmp
2008-06-07 09:18 34,308 ----a-w C:\WINDOWS\system32\Chip.dll
2008-06-06 13:47 --------- d-----w C:\Programme\thriXXX
2008-05-29 21:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-29 14:00 --------- d-----w C:\Programme\PhotoRescue Advanced PC
2008-05-29 13:56 --------- d-----w C:\Programme\IrfanView
2008-05-23 10:25 --------- d-----w C:\Programme\FlashFXP
2008-05-20 20:19 --------- d-----w C:\Programme\SystemRequirementsLab
2008-05-18 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-04-30 20:16 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-30 20:16 286,720 ------w C:\WINDOWS\Setup1.exe
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2007-02-12 17:38 56 --sh--r C:\WINDOWS\system32\DDA20A0817.sys
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-02-12 17:38 13,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-04-27 09:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 05:32 11776]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ"="C:\Programme\ICQ\Icq.exe" [2003-01-21 09:20 2089541]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 01:07 61440]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304]
"UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2005-05-14 18:23 187904]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 13:06 62760]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016]
"Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [2008-06-24 17:46 114248]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-10-21 14:28 29696 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.YV12"= yv12vfw.dll
"vidc.ffds"= C:\Programme\Combined Community Codec Pack\Filters\ffdshow.ax
"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 03:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 01:47 31016 C:\Programme\Microsoft Office\Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-11-15 20:14 1204224 C:\Programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2006-09-17 13:16 204843 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Steam"="D:\Games\Steam\Steam.exe" -silent
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"Mirabilis ICQ"=C:\Programme\ICQ\ICQNet.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SolidWorks_CheckForUpdates"="C:\Programme\Gemeinsame Dateien\SolidWorks Installations-Manager\Scheduler\sldIMScheduler.exe" /scheduler
"HDInspector.exe"=C:\Programme\Hard Drive Inspector\HDInspector.exe
"BDRegion"=C:\Programme\Cyberlink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\cinemsup.sys [2002-07-19 08:10]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-03 01:12]
R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 13:54]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14:00]
R2 VmodeNT;VmodeNT;C:\WINDOWS\system32\drivers\VmodeNT.sys [2003-07-03 04:18]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2005-05-14 18:41]
S1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys []
S3 DM9USB;DM9601 USB To Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\dm9usb.sys [2006-12-29 05:41]
S3 r_server;Remote Administrator Service;C:\WINDOWS\system32\r_server.exe [2004-06-23 21:03]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c54c4e14-b60a-11dc-83f2-00138f73ec6a}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd41-28bc-11db-8d7e-806d6172696f}]
\Shell\AutoRun\command - E:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd42-28bc-11db-8d7e-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - SDAUXSERVICE
*Newly Created Service* - SDCORESERVICE
.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-07-14 22:07:02 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 07:00:01 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 08:00:02 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 09:00:01 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 10:00:09 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 11:00:02 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 12:00:03 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 13:00:04 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 14:00:02 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 15:00:10 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 16:00:02 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 23:00:03 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 17:00:08 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 18:00:03 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 19:00:08 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 20:00:06 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 21:00:02 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 00:00:02 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 01:00:01 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 02:00:02 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 03:00:02 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 04:00:12 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At73.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At74.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At75.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 01:00:10 C:\WINDOWS\Tasks\At76.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 02:00:10 C:\WINDOWS\Tasks\At77.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 03:00:10 C:\WINDOWS\Tasks\At78.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 04:00:18 C:\WINDOWS\Tasks\At79.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 05:00:02 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 05:00:10 C:\WINDOWS\Tasks\At80.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 06:00:10 C:\WINDOWS\Tasks\At81.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 07:00:10 C:\WINDOWS\Tasks\At82.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 08:00:10 C:\WINDOWS\Tasks\At83.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 09:00:10 C:\WINDOWS\Tasks\At84.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 10:00:16 C:\WINDOWS\Tasks\At85.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 11:00:10 C:\WINDOWS\Tasks\At86.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 12:00:11 C:\WINDOWS\Tasks\At87.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 13:00:11 C:\WINDOWS\Tasks\At88.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 14:34:25 C:\WINDOWS\Tasks\At89.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 06:00:08 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 15:00:14 C:\WINDOWS\Tasks\At90.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 16:00:00 C:\WINDOWS\Tasks\At91.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:29 C:\WINDOWS\Tasks\At92.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:32 C:\WINDOWS\Tasks\At93.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:36 C:\WINDOWS\Tasks\At94.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:39 C:\WINDOWS\Tasks\At95.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:43 C:\WINDOWS\Tasks\At96.job"
- C:\WINDOWS\system32\2Ife6rem.exe
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Steam - f:\games\steam\steam.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 18:40:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Zeit der Fertigstellung: 2008-07-15 18:43:43
ComboFix-quarantined-files.txt 2008-07-15 16:42:30

10 Verzeichnis(se), 150,663,168 Bytes frei
13 Verzeichnis(se), 174,333,952 Bytes frei

334 --- E O F --- 2008-03-07 19:00:31

Backdoor Agent ARK geht nicht weg

Plagegeister aller Art und deren Bekämpfung: Backdoor Agent ARK geht nicht weg