Hi! Ich habe eine vermutung, das ich nen virus o.ä. hab. windows defender hat eine änderung der hosts-datei auf xp(sp3) gezeigt.
dies hab ich erst ignoriert, damich ich gucken konnte, was geändert wurde. und siehe da, viele antivirus-seiten wurden auf 127.0.0.1 geleitet (z.b. trend micro symantec sophos kaspersky...) die einträge habe ich deshlab auch wieder entfernt. bis jetzt ist kein neuer eintrag dazugekommen. allerdings sind die automatischen updates im "sicherheitscenter" auf inaktiv, obwohl sie in der einstellungen an sind. sonst habe ich nichts gemerkt.

hier mein HijackThis logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:34, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Sphairon\Sphairon USB Wireless LAN Card\WLanUtility.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\uTorrent\uTorrent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdphost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h***://w*w.asus.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Files Driver] sdphost.exe
O4 - HKLM\..\RunServices: [Files Driver] sdphost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [RSSReader] C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Apps\2.0\MRVG20EW.LCZ\TKPBA14V.10K\rssr..tion_8485b49cac84493f_0001.0000_62a26ae6ad9d077d\RSSReader.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: UB801RE WLAN Anwendung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Aloa,

warum hab ich diese Vermutung, das das Ganze mit deinem Nicknamen zusammenhaengt?

BTT:
Da scheint was Boeses aktiv zu sein:

Zitat:

C:\WINDOWS\system32\sdphost.exe

Deshalb gehe wie folgt vor:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\sdphost.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

erstmal, mein nickname ist AUSGEDACHT!!!

ok, hab den check gemacht:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.5.1 2008.09.05 -
AntiVir 7.8.1.28 2008.09.05 -
Authentium 5.1.0.4 2008.09.05 -
Avast 4.8.1195.0 2008.09.04 -
AVG 8.0.0.161 2008.09.05 BackDoor.RBot.AS
BitDefender 7.2 2008.09.05 Backdoor.SDBot.DFVV
CAT-QuickHeal 9.50 2008.09.02 Backdoor.SdBot.fwc
ClamAV 0.93.1 2008.09.05 -
DrWeb 4.44.0.09170 2008.09.05 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 -
Ewido 4.0 2008.09.04 -
F-Prot 4.4.4.56 2008.09.04 -
F-Secure 8.0.14332.0 2008.09.05 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.05 -
Ikarus T3.1.1.34.0 2008.09.05 Backdoor.SdBot.DFVV
K7AntiVirus 7.10.441 2008.09.04 Backdoor.Win32.SdBot.fwc
Kaspersky 7.0.0.125 2008.09.05 -
McAfee 5377 2008.09.04 -
Microsoft 1.3903 2008.09.05 Backdoor:Win32/Rbot.JE
NOD32v2 3418 2008.09.05 -
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.04 Suspicious file
PCTools 4.4.2.0 2008.09.04 -
Prevx1 V2 2008.09.05 Suspicious
Rising 20.60.42.00 2008.09.05 -
Sophos 4.33.0 2008.09.04 -
Sunbelt 3.1.1606.1 2008.09.04 -
Symantec 10 2008.09.05 W32.IRCbot
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.04 -
ViRobot 2008.9.5.1365 2008.09.05 -
VirusBuster 4.5.11.0 2008.09.04 -
Webwasher-Gateway 6.6.2 2008.09.05 Virus.Win32.FileInfector.gen (suspicious)

wie kriege ich den weg?
dnake im voraus

serials(ausgedacht!!!)

EDIT: ach ja, hab i-wo gelesen, das dieses rbot ein irc backdoor ist. ich hab garkein irc!
EDIT2: Noch ein Sympthom: Antivir versucht grad update zu machen, wird aber immer langsamer und hört schließlich auf runterzuladen???
ok. jetzt hats doch geklappt, aber am ende stand da bei verbleibend: 5301:56 minuten !!!!

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

SDFix report:

Code: Alles auswählenAufklappen

ATTFilter

SDFix: Version 1.221 
Run by ****** on 05.09.2008 at 14:16

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\******\Desktop\sdfix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

C:\E.exe - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-09-05 14:25:08
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:0e,75,f9,fe,27,91,5c,58,94,67,f1,53,af,af,ef,9f,62,de,d2,5b,78,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,28,c5,55,b9,88,19,30,df,e8,2e,77,47,cc,54,7d,4c,2e,..
"khjeh"=hex:f3,e9,43,66,08,e0,a7,99,74,ad,c3,85,8f,85,5f,53,40,67,eb,57,21,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,93,56,4b,a3,f1,2c,5e,c6,f5,d3,f5,c7,ee,41,17,1c,ff,01,64,be,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:0e,75,f9,fe,27,91,5c,58,94,67,f1,53,af,af,ef,9f,62,de,d2,5b,78,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,28,c5,55,b9,88,19,30,df,e8,2e,77,47,cc,54,7d,4c,2e,..
"khjeh"=hex:f3,e9,43,66,08,e0,a7,99,74,ad,c3,85,8f,85,5f,53,40,67,eb,57,21,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,93,56,4b,a3,f1,2c,5e,c6,f5,d3,f5,c7,ee,41,17,1c,ff,01,64,be,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000d1
"TracesSuccessful"=dword:0000005d

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\TmNationsForever\\TmForever.exe"="C:\\Programme\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Remoteunterst�tzung - Windows Messenger und Voice"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Dokumente und Einstellungen\\Dennis\\Desktop\\zaSetup_de1.exe"="C:\\Dokumente und Einstellungen\\Dennis\\Desktop\\zaSetup_de1.exe:*:Enabled:zaSetup_de1.exe"
"C:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"="C:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin:*:Enabled:LEVEL-R"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOKUME~1\Dennis\Desktop\sdfix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 29 Jul 2008            56 ..SHR --- "C:\WINDOWS\system32\87D8CAF830.sys"
Tue 29 Jul 2008         2,098 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 14 Apr 2008       933,888 ..SHR --- "C:\WINDOWS\system32\sdphost.exe"
Sat  9 Aug 2008        88,064 A..H. --- "C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\rbap550.dll"
Sun 13 Jul 2008             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Fri 18 Jul 2008       165,232 A..H. --- "C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll"

Finished!
         

Hijackthis report:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:55, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Sphairon\Sphairon USB Wireless LAN Card\WLanUtility.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h***://w*w.asus.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: UB801RE WLAN Anwendung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h***://w*w.asus.com
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7735 bytes
         

grüße serials

Combofix report:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-04.09 - Dennis 2008-09-05 14:32:03.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.535 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dennis\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Service_6to4
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-08-05 bis 2008-09-05  ))))))))))))))))))))))))))))))
.

2008-09-05 14:15 . 2008-09-05 14:15	580,096	--a------	C:\WINDOWS\system32\dllcache\user32.dll
2008-09-05 14:13 . 2008-09-05 14:13	<DIR>	d--------	C:\WINDOWS\ERUNT
2008-09-05 12:50 . 2008-09-05 12:50	<DIR>	d--------	C:\Programme\Trend Micro
2008-09-05 08:03 . 2008-09-05 08:03	<DIR>	d--------	C:\Programme\AssaultCube
2008-09-01 12:52 . 2008-06-26 02:24	1,104,416	--a------	C:\WINDOWS\system32\nvcpluir.dll
2008-09-01 12:52 . 2008-06-26 02:24	797,216	--a------	C:\WINDOWS\system32\nvcplui.exe
2008-09-01 12:52 . 2008-06-26 02:24	436,768	--a------	C:\WINDOWS\system32\keystone.exe
2008-09-01 12:52 . 2008-06-26 02:24	420,384	--a------	C:\WINDOWS\system32\nvcpl.cpl
2008-09-01 12:52 . 2008-06-26 02:24	327,680	--a------	C:\WINDOWS\system32\nvwrsesm.dll
2008-09-01 12:52 . 2008-06-26 02:24	274,432	--a------	C:\WINDOWS\system32\nvrsesm.dll
2008-09-01 12:52 . 2008-06-26 02:24	191,628	--a------	C:\WINDOWS\system32\nvapps.nvb
2008-09-01 12:52 . 2008-06-26 02:24	143,360	--a------	C:\WINDOWS\system32\nvcolor.exe
2008-09-01 12:52 . 2008-06-26 02:24	45,056	--a------	C:\WINDOWS\system32\nvmccsrs.dll
2008-09-01 12:39 . 2008-09-01 12:39	<DIR>	d--------	C:\NVIDIA
2008-08-30 14:18 . 2008-09-02 08:47	<DIR>	d--------	C:\Programme\PokerStars.NET
2008-08-30 12:23 . 2008-08-31 08:18	<DIR>	d--------	C:\Programme\Silkroad
2008-08-23 11:05 . 2008-08-23 11:05	<DIR>	d--------	C:\Programme\Codemasters
2008-08-23 10:10 . 2008-08-23 10:10	<DIR>	d--------	C:\Programme\Blender Foundation
2008-08-23 10:10 . 2008-08-23 10:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Blender Foundation
2008-08-23 09:25 . 2008-08-23 09:57	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-08-23 09:20 . 2008-08-23 10:03	<DIR>	d--------	C:\Programme\Autodesk
2008-08-21 08:54 . 2008-08-21 08:54	262,144	--a------	C:\WINDOWS\system32\wrap_oal.dll
2008-08-21 08:54 . 2008-08-21 08:54	86,016	--a------	C:\WINDOWS\system32\OpenAL32.dll
2008-08-21 08:54 . 1999-11-02 11:01	6,173	--a------	C:\WINDOWS\system32\drivers\Entech.vxd
2008-08-21 08:54 . 2004-06-22 16:44	5,632	--a------	C:\WINDOWS\system32\drivers\Entech64.sys
2008-08-20 15:30 . 2008-08-29 15:11	<DIR>	d--------	C:\Programme\Uplink
2008-08-19 15:42 . 2008-08-19 15:43	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YoYoGames
2008-08-19 08:37 . 2008-08-19 08:39	<DIR>	d--------	C:\Programme\Animake
2008-08-18 15:09 . 2008-08-18 15:09	21	--a------	C:\WINDOWS\system32\lsauto
2008-08-18 15:08 . 2008-08-18 15:08	<DIR>	d--------	C:\Programme\Longtion
2008-08-17 19:32 . 2008-08-17 19:32	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\Softwrap
2008-08-16 17:58 . 2008-08-16 17:59	<DIR>	d--------	C:\Programme\Game_Maker7
2008-08-16 14:50 . 2008-05-01 16:34	331,776	---------	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-16 14:49 . 2008-04-11 21:04	691,712	---------	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-14 15:35 . 2008-08-14 15:36	<DIR>	d--------	C:\a5a28c6d6c6d0a446a77eef96fdd
2008-08-14 14:48 . 2008-08-14 14:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\CellularEmulator
2008-08-12 15:54 . 2008-08-12 15:54	<DIR>	d--------	C:\Programme\S.A.D
2008-08-12 15:54 . 2008-08-12 15:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\DualCoreTuner
2008-08-12 15:18 . 2008-08-12 15:18	<DIR>	d--------	C:\Programme\Auslogics
2008-08-12 14:49 . 2008-08-12 15:58	<DIR>	d--------	C:\Programme\Raxco
2008-08-12 14:46 . 2008-08-12 14:46	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Protexis
2008-08-12 14:28 . 2008-08-12 14:33	<DIR>	d--------	C:\Programme\Notebook Hardware Control
2008-08-11 14:42 . 2008-08-11 14:42	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-10 13:03 . 2008-08-10 13:35	<DIR>	d--------	C:\Programme\Macromedia
2008-08-10 13:03 . 2008-08-10 13:32	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Macromedia
2008-08-10 10:57 . 2008-08-10 10:57	<DIR>	d--------	C:\Programme\SystemRequirementsLab
2008-08-10 10:57 . 2008-08-10 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\SystemRequirementsLab
2008-08-09 20:16 . 2008-08-16 11:33	<DIR>	d--------	C:\Programme\Unlocker
2008-08-09 14:34 . 2008-08-09 14:34	88,064	--ah-----	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\rbap550.dll
2008-08-09 12:41 . 2008-08-09 12:44	<DIR>	d--------	C:\Dotfuscated
2008-08-08 13:50 . 2008-08-08 13:54	<DIR>	d--------	C:\Programme\SuperTux
2008-08-08 13:04 . 2008-08-08 13:33	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\.supertux2
2008-08-08 13:03 . 2008-08-08 13:42	<DIR>	d--------	C:\Programme\SuperTux 0.3.1
2008-08-08 12:57 . 2008-08-08 12:59	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\.hedgewars
2008-08-07 12:39 . 2008-08-07 12:39	<DIR>	d--------	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\RealWorld
2008-08-07 12:35 . 2008-08-07 12:42	<DIR>	d--------	C:\Programme\Oxyd extra
2008-08-05 13:52 . 2008-08-18 14:23	<DIR>	d--------	C:\Programme\PeerGuardian2
2008-08-05 09:19 . 2008-08-05 09:19	64	--a------	C:\WINDOWS\MyProg.ini
2008-08-05 09:14 . 2008-09-05 14:05	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-05 09:03 . 2008-08-05 09:03	<DIR>	d--------	C:\Programme\Google

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-05 12:35	147,788	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-05 12:35	13,867,040	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-05 12:02	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\uTorrent
2008-09-05 05:44	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-03 11:28	---------	d-----w	C:\Programme\RPG Maker 2003
2008-09-03 09:50	---------	d-----w	C:\Programme\Messenger Plus! Live
2008-08-30 12:15	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\OpenOffice.org2
2008-08-30 08:53	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-29 13:55	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-08-29 13:54	---------	d-----w	C:\Programme\Phun
2008-08-21 06:51	---------	d-----w	C:\Programme\Futuremark
2008-08-19 13:05	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\CyberLink
2008-08-16 13:33	---------	d-----w	C:\Programme\Microsoft SQL Server
2008-08-16 13:31	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-16 10:18	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Ruff-FTP
2008-08-14 13:51	---------	d-----w	C:\Programme\Microsoft Visual Studio 9.0
2008-08-06 12:35	---------	d-----w	C:\Programme\Notepad++
2008-08-03 14:49	---------	d-----w	C:\Programme\Xceed Components
2008-08-03 13:41	---------	d-----w	C:\Programme\Infragistics
2008-08-03 13:41	---------	d-----w	C:\Programme\Gemeinsame Dateien\Infragistics
2008-08-03 13:26	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-03 12:55	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\TeamViewer
2008-08-03 11:20	---------	d-----w	C:\Programme\Dundas Software
2008-08-03 10:47	---------	d-----w	C:\Programme\Nevron Software
2008-08-03 09:58	---------	d-----w	C:\Programme\Microsoft.NET
2008-08-03 09:51	---------	d-----w	C:\Programme\Gemeinsame Dateien\Merge Modules
2008-08-03 09:51	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PreEmptive Solutions
2008-08-03 09:50	---------	d-----w	C:\Programme\MSBuild
2008-08-03 09:46	---------	d-----w	C:\Programme\CE Remote Tools
2008-08-03 09:45	---------	d-----w	C:\Programme\Microsoft Visual Studio 8
2008-08-02 07:50	65,536	----a-w	C:\WINDOWS\IFinst27.exe
2008-08-02 07:50	---------	d-----w	C:\Programme\Shock Utility
2008-08-01 12:27	---------	d-----w	C:\Programme\Microsoft Silverlight
2008-08-01 09:22	---------	d-----w	C:\Programme\xp-Iso-Builder
2008-07-31 13:07	---------	d-----w	C:\Programme\telerik
2008-07-31 12:21	---------	d-----w	C:\Programme\PowerISO
2008-07-31 10:40	---------	d-----w	C:\Programme\ASUS
2008-07-31 10:37	---------	d-----w	C:\Programme\AMD
2008-07-31 10:07	---------	d-----w	C:\Programme\IMSI
2008-07-29 11:31	---------	d-----w	C:\Programme\Ruff-Tech
2008-07-29 10:20	73,216	----a-w	C:\WINDOWS\ST6UNST.EXE
2008-07-29 10:20	249,856	------w	C:\WINDOWS\Setup1.exe
2008-07-29 09:43	---------	d-----w	C:\Programme\TGTSoft
2008-07-29 08:22	286,720	----a-w	C:\WINDOWS\iun506.exe
2008-07-29 08:22	---------	d-----w	C:\Programme\Enterbrain
2008-07-29 07:13	---------	d-----w	C:\Programme\Gemeinsame Dateien\Enterbrain
2008-07-27 14:37	---------	d-----w	C:\Programme\SmartFTP Client
2008-07-27 12:09	---------	d-----w	C:\Programme\Ipswitch
2008-07-27 12:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch
2008-07-24 20:28	---------	d-----w	C:\Programme\Component Factory Pty Ltd
2008-07-24 20:28	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Component Factory
2008-07-24 20:01	23	----a-w	C:\Dokumente und Einstellungen\Dennis\jagex_runescape_preferences.dat
2008-07-24 12:22	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\aicon
2008-07-24 11:45	---------	d-----w	C:\Programme\Franzis  ...interaktiv
2008-07-24 11:41	---------	d-----w	C:\Programme\Windows Desktop Search
2008-07-23 12:14	---------	d-----w	C:\Programme\Inno Setup 5
2008-07-23 09:56	---------	d-----w	C:\Programme\NASA
2008-07-23 07:24	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Auslogics
2008-07-22 16:34	---------	d-----w	C:\Programme\TmNationsForever
2008-07-22 16:34	---------	d-----w	C:\Programme\Microsoft Works
2008-07-22 16:34	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Clonk Rage
2008-07-22 16:06	---------	d-----w	C:\Programme\Microsoft XNA
2008-07-22 15:43	---------	d-----w	C:\Programme\DivX
2008-07-22 15:43	---------	d-----w	C:\Programme\Aufgabensammlung
2008-07-21 10:10	---------	d-----w	C:\Programme\GameTop.com
2008-07-18 07:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Corporation
2008-07-18 06:15	---------	d-----w	C:\Programme\Paint.NET
2008-07-17 13:14	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Nero
2008-07-17 13:13	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nero
2008-07-17 13:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-07-17 13:10	---------	d-----w	C:\Programme\Nero
2008-07-17 12:48	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-07-17 12:48	---------	d-----w	C:\Programme\Ahead
2008-07-17 08:52	---------	d-----w	C:\Programme\Zone Labs
2008-07-17 08:22	---------	d-----w	C:\Programme\gamigo
2008-07-15 08:42	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\SecondLife
2008-07-14 09:34	---------	d-----w	C:\Programme\TeamViewer3
2008-07-14 08:45	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Apple Computer
2008-07-13 14:35	---------	d-----w	C:\Programme\Windows Media Connect 2
2008-07-13 11:30	---------	d-----w	C:\Programme\TechSmith
2008-07-13 11:30	---------	d-----w	C:\Programme\Gemeinsame Dateien\TechSmith Shared
2008-07-13 11:30	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TechSmith
2008-07-13 11:25	---------	d-----w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\DivX
2008-07-13 07:17	---------	d-----w	C:\Programme\QuickTime
2008-07-13 07:16	---------	d-----w	C:\Programme\Apple Software Update
2008-07-13 07:16	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-13 07:16	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-11 11:16	---------	d-----w	C:\Programme\Windows Defender
2008-07-11 10:07	---------	d-----w	C:\Programme\Java
2008-07-11 09:44	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-11 09:42	---------	d-----w	C:\Programme\Lavasoft
2008-07-10 09:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-07-09 07:05	75,248	----a-w	C:\WINDOWS\zllsputility.exe
2008-07-09 07:05	42,384	----a-w	C:\WINDOWS\zllsputility_loc0407.dll
2008-07-07 07:40	56,108	----a-w	C:\WINDOWS\system32\drivers\scdemu.sys
2008-07-06 12:46	---------	d-----w	C:\Programme\Gemeinsame Dateien\Borland Shared
2008-06-24 14:06	972,072	----a-w	C:\WINDOWS\UNNeroMediaHome.exe
2008-06-06 12:54	972,072	----a-w	C:\WINDOWS\UNRecode.exe
2008-05-24 19:38	0	-c--a-w	C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\wklnhst.dat
2008-04-14 02:22	933,888	--sh--r	C:\WINDOWS\system32\sdphost.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]
"Google Update"="C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-04-17 110592]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-06-26 13574144]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-20 761945]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"RemoteControl"="C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-08-09 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-06-26 86016]
"nwiz"="nwiz.exe" [2008-06-26 C:\WINDOWS\system32\nwiz.exe]
"SMSERIAL"="sm56hlpr.exe" [2006-01-19 C:\WINDOWS\sm56hlpr.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-18 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
"MSVideo"= CSvidcap.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\TmNationsForever\\TmForever.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 16269]
R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
R3 teamviewervpn;TeamViewer VPN Adapter;C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [ ]
S3 DrvFltIp;DrvFltIp;C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\TEMP\DrvFltIp [ ]
S3 RTLWUSB;Sphairon USB Wireless LAN Card;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-07-04 178048]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [ ]
S3 xpvcom;XPVCOM Port;C:\WINDOWS\system32\DRIVERS\XPVCOM.sys [2007-03-23 30032]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-RSSReader - C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Apps\2.0\MRVG20EW.LCZ\TKPBA14V.10K\rssr..tion_8485b49cac84493f_0001.0000_62a26ae6ad9d077d\RSSReader.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\4nxk7b20.default\
FF -: plugin - C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Mozilla\Firefox\Profiles\4nxk7b20.default\extensions\yyginstantplay@yoyogames.com\plugins\NPYYGInstantPlay.dll
FF -: plugin - C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 14:37:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\TEMP\ASFWHide"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DrvFltIp]
"ImagePath"="\??\C:\Dokumente und Einstellungen\Dennis\Lokale Einstellungen\TEMP\DrvFltIp"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sphairon\Sphairon USB Wireless LAN Card\WLanUtility.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe


.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-05 14:43:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-05 12:42:54

Pre-Run: 8,585,380,864 Bytes frei
Post-Run: 8,576,906,752 Bytes frei

297	--- E O F ---	2008-08-29 11:30:49
         

grüße serials

ach ja, sdphost.exe is immernoch da!

Wenn du folgende Ordner kennen solltest, dann erwähne dieses bitte im nächsten Beitrag -> Blender Foundation


Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

DIRLOOK::
C:\Dokumente und Einstellungen\Dennis\Anwendungsdaten\Blender Foundation
C:\Programme\Blender Foundation
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


außerdem:


Deinstalliere folgende Software:

Code: Alles auswählenAufklappen

ATTFilter

Messenger Plus! Live
         

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.

ähm, du weißt schon das blender ein 3d modellierungsprogramm ist, das ich mal installiert und wieder deinstalliert hab.

und messenger plus! live ist ne erweiterung von windows live messenger

Zitat:

Zitat von serials

ähm, du weißt schon das blender ein 3d modellierungsprogramm ist, das ich mal installiert und wieder deinstalliert hab.

Aber scheinbar existiert der Ordner immer noch.

Zitat:

und messenger plus! live ist ne erweiterung von windows live messenger

Das was du meinst ist Windows-Live, das was ich da gefunden habe ist eine Software welche dir (wahrscheinlich) die Malware auf das System geholt hat.
Messenger!Plus lädt nämlich schädliche Dateien nach..

die sind noch als denstallationsmüll übriggeblieben
hab se gelöscht.
in dem einen waren noch modelle drinne, in dem anderen ne deinstaller log.

zu messenger...:

http://www.msgpluslive.de/

Ok, das mit dem Messenger war mir neu...aber scheinbar hast du Recht!

Es gab mal vor einiger Zeit ein Programm (Toolbar) was Messenger!Plus3 hieß, war aber ein Fake..

So, BTT:

ist die sdphost.exe noch da?
Aber egal, Neuaufsetzen waere bei einem IRC-Bot angebracht, falls du Wert auf ein sicheres und sauberes System legst.
Denn gerade die neueren Bots (wie "deiner") haben RAT (Remote Administration Tool)-Funktionen.

solong..

Zitat:

Zitat von Dark Viruz

ist die sdphost.exe noch da?
Aber egal, Neuaufsetzen waere bei einem IRC-Bot angebracht, falls du Wert auf ein sicheres und sauberes System legst..

Ja sie ist noch da...


Jedoch fehlt mir noch die Auswertung aus dem letzten Script von CF.


Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.




OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\sdphost.exe

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!




Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

hat sich erledigt!

nach nem neustart war sie weg! hab nochmal mit HijackThis getestet usw.

nichts auffälliges! alles waren programme die ich kenne und die ICH installiert habe, bei sachen wo ich nicht so genau wusste habsch geggogelt.

<erledigt>

sry für doppelpost, aber combofix hat mein dvd-laufwerk "lahmgelegt" (also autostart) wass soll ich jetzt machen damit das wieder funkt?