Trojaner Problem

Makie · 28.10.2008, 14:32

Hallöle...
seit einigen Tagen meldet mir Antivir beim hochfahren meines PCS
folgenden Befall
TR/Dropper.Gen
TR/Hijacker.Gen
TR/Rootkit.Gen
Löschen bringt nix,Qurantäne auch nix..Systemwiederherstellung hat auch nich geklappt..Kenn mich damit absolut nicht aus..
Hab mich hier ein wenig durch-gelesen und hab schon mal ein logfile ComboScan
gemacht,den ich hier mal anhänge..
Ich hoffe ihr könnt mir weiterhelfen....aber bitte 'hilfe für Dummies'ich hab keine Ahnung von dem Zeugs
Vielen Dank schon mal im Voraus
LG
Makie

cosinus · 28.10.2008, 14:57

Hallo und

ComboScan ist aaaalt!
Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Makie · 28.10.2008, 15:37

Mein Logfile

Makie · 28.10.2008, 15:42

Hallo,erstmal noch vielen Dank für die schnelle Hilfe !!!

Hier mein MBR-Logfile:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Makie · 28.10.2008, 16:12

Hijack-Logfile nachdem ich Blacklight ausgeführt habe:

Makie · 28.10.2008, 16:16

Hier der mbam-Log:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 16:00:37
mbam-log-2008-10-28 (16-00-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47870
Laufzeit: 2 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ati6ddxx.sys (Rootkit.Agent) -> No action taken.

Makie · 28.10.2008, 16:23

Code:

ATTFilter


"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"GMX_GMX MultiMessenger" = ""C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide" ["GMX GmbH"]
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"Magentic" = "C:\PROGRA~1\Magentic\bin\Magentic.exe /c" [empty string]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AGEIA PhysX SysTray" = ""C:\Programme\AGEIA Technologies\TrayIcon.exe"" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"DMS-Kalenderchen" = "C:\Programme\Kalenderchen\Kalenderchen.exe /autorun" ["Daniel Manger Software"]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u"
" Malwarebytes Anti-Malware  (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\(Default) = "Kwyshell MidpX BHO"
  -> {HKLM...CLSID} = "Kwyshell MidpX"
                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{D120D80B-BD26-4A74-8E43-2C2AF0966139}" = "QuickPar ContextMenu extension"
  -> {HKLM...CLSID} = "QuickParContextMenu Class"
                   \InProcServer32\(Default) = "C:\Programme\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
  -> {HKLM...CLSID} = "SimpleShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]
"{94586423-855F-4EB2-9F6A-D9DA5658DBE3}" = "SxContextMenu1stConv"
  -> {HKLM...CLSID} = "Context menu"
                   \InProcServer32\(Default) = "C:\PROGRA~1\FREEM4~1\m4a_menu.dll" [null data]
"{BD88A479-9623-4897-8546-BC62B9628F44}" = "SPTHandler"
  -> {HKLM...CLSID} = "SPTHandler"
                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\
<<!>> ("" [file not found]) "SecurityProviders" = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,"

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"| [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
  -> {HKLM...CLSID} = "IMMenuShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\IncrediMail\bin\ImShExtU.dll" ["IncrediMail, Ltd."]
MyPhoneExplorer\(Default) = "{A372C6DF-7A85-41B1-B3B0-D1E24073DCBF}"
  -> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"
                   \InProcServer32\(Default) = "C:\Programme\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]
Quick Par\(Default) = "{D120D80B-BD26-4A74-8E43-2C2AF0966139}"
  -> {HKLM...CLSID} = "QuickParContextMenu Class"
                   \InProcServer32\(Default) = "C:\Programme\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"
  -> {HKLM...CLSID} = "SPTHandler"
                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"
  -> {HKLM...CLSID} = "SPTHandler"
                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"
  -> {HKLM...CLSID} = "SPTHandler"
                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]


Default executables:
--------------------

HKLM\SOFTWARE\Classes\.scr\(Default) = "scrfile"
<<!>> HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Makie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\MAGENT~1.SCR" (Magentic Screensaver.scr) ["IncrediMail LTD."]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

HMMAddToDatabaseHandler\
"Provider" = "Helium Music Manager 2008"
"InvokeProgID" = "Helium2008.HMMAddToDatabaseHandler"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Helium2008.HMMAddToDatabaseHandler\shell\open\DropTarget\CLSID = "{A1E14418-8893-45FC-A04A-82464BB1567A}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]

HMMMTPHandler\
"Provider" = "Helium Music Manager 2008"
"InvokeProgID" = "Helium2008.HMMMTPHandler"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Helium2008.HMMMTPHandler\shell\open\DropTarget\CLSID = "{82C3D74B-776F-436A-9EC3-88AC68843063}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]

HMMPlayHandler\
"Provider" = "Helium Music Manager 2008"
"InvokeProgID" = "Helium2008.HMMPlayMusicHandler"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Helium2008.HMMPlayMusicHandler\shell\open\DropTarget\CLSID = "{B0AD4BDA-BAED-4B27-B99C-A62345B439FF}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]

HMMRipAudioCDHandler\
"Provider" = "Helium Music Manager 2008"
"InvokeProgID" = "Helium2008.HMMRipAudioCDHandler"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Helium2008.HMMRipAudioCDHandler\shell\open\DropTarget\CLSID = "{D78D6E8B-8BC0-457F-80B6-D94287756F87}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

NeroAutoPlay2AudioToNeroDigital\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracksND  /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2RipCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_RipCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks  /Drive:%L" ["Ahead Software AG"]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda://%1" ["the VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd://%1" ["the VideoLAN Team"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}"
  -> {HKLM...CLSID} = "Kwyshell MidpX"
                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}"
  -> {HKLM...CLSID} = "Kwyshell MidpX"
                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}" = "Kwyshell MidpX"
  -> {HKLM...CLSID} = "Kwyshell MidpX"
                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Spyware Terminator Realtime Shield Service, sp_rssrv, ""C:\Programme\Spyware Terminator\sp_rsser.exe"" ["Crawler.com"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Toshiba Bluetooth Monitor\Driver = "tbtmon.dll" ["Toshiba America Business Solutions, Inc."]


---------- (launch time: 2008-10-28 16:17:39)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 54 seconds, including 18 seconds for message boxes)

cosinus · 28.10.2008, 16:53

Beachte die Anleitungen genauer. Für MBAM solltest Du einen vollen Scan durchführen und die Funde entfernen lassen!

Makie · 28.10.2008, 16:57

Code:

ATTFilter

ComboFix 08-10-27.05 - Makie 2008-10-28 16:39:16.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.175 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Makie\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\inst.exe
C:\WINDOWS\system\msvbvm60.dll
C:\WINDOWS\system32\uninstall.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PACKET
-------\Legacy_TCPSR
-------\Service_Packet


(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-28  ))))))))))))))))))))))))))))))
.

2008-10-28 12:52 . 2008-10-28 14:14	<DIR>	d--------	C:\ComboScan
2008-10-28 11:13 . 2008-10-22 16:10	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-28 11:13 . 2008-10-22 16:10	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-28 11:12 . 2008-10-28 11:13	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-28 09:26 . 2008-10-28 11:01	<DIR>	d--------	C:\Programme\Spyware Terminator
2008-10-28 09:26 . 2008-10-28 10:37	<DIR>	d--------	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Spyware Terminator
2008-10-28 09:26 . 2008-10-28 11:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-10-28 09:26 . 2008-10-28 09:26	141,312	--a------	C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-10-24 17:26 . 2008-10-24 17:26	<DIR>	dr-------	C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-10-24 17:15 . 2008-10-15 17:35	337,408	-----c---	C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-21 08:01 . 2008-10-21 08:01	129	--a------	C:\WINDOWS\system32\MRT.INI
2008-10-20 21:39 . 2008-10-20 21:39	<DIR>	d--------	C:\Programme\Magentic
2008-10-20 21:39 . 2008-08-04 08:51	750,984	--a------	C:\WINDOWS\system32\Magentic Screensaver.scr
2008-10-20 20:17 . 2008-10-20 21:10	<DIR>	d--------	C:\Programme\IncrediMail
2008-10-20 20:17 . 2008-10-20 20:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-10-20 18:17 . 2008-10-20 18:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-10-20 15:01 . 2008-09-08 11:41	333,824	-----c---	C:\WINDOWS\system32\dllcache\srv.sys
2008-10-20 14:59 . 2008-08-14 14:19	2,191,488	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-20 14:59 . 2008-08-14 14:19	2,068,352	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-20 14:59 . 2008-09-15 16:24	1,846,528	-----c---	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-15 06:59 . 2008-10-28 12:25	32,768	--a------	C:\WINDOWS\system32\drivers\ati6ddxx.sys
2008-10-12 18:35 . 2008-10-12 18:35	<DIR>	d--------	C:\Programme\Free M4a to MP3 Converter
2008-10-06 19:01 . 2008-10-06 19:13	<DIR>	d--------	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\vlc
2008-10-03 09:01 . 2008-10-03 09:01	<DIR>	d--------	C:\Programme\Groschengrab Deluxe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 11:16	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-28 11:16	---------	d-----w	C:\Programme\Trojan Remover
2008-10-28 07:14	---------	d-----w	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\UseNeXT
2008-10-26 08:34	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-24 16:07	---------	d-----w	C:\Programme\Microsoft Silverlight
2008-10-21 06:40	---------	d-----w	C:\Programme\The JukeBoxer
2008-10-21 06:40	---------	d-----w	C:\Programme\Silverjuke
2008-10-21 06:40	---------	d-----w	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Silverjuke
2008-10-21 06:38	---------	d-----w	C:\Programme\Pro Jäger -Die 3D Entenjagd Simulation
2008-10-21 06:36	---------	d-----w	C:\Programme\EA Games
2008-10-21 06:35	---------	d-----w	C:\Programme\GameSpy Arcade
2008-10-21 06:34	---------	d-----w	C:\Programme\CHIP Update-Manager
2008-10-21 06:33	---------	d-----w	C:\Programme\UseNeXT
2008-10-03 12:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-03 12:33	---------	d-----w	C:\Programme\Sportschiessen 2006
2008-09-21 07:51	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rionix
2008-09-21 07:50	---------	d-----w	C:\Programme\Alawar
2008-09-16 14:09	---------	d-----w	C:\Programme\Zylom Games
2008-09-16 13:05	---------	d-----w	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Zylom
2008-09-13 16:04	---------	d-----w	C:\Programme\Free FLV Converter
2008-09-13 15:48	---------	d-----w	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\MyPhoneExplorer
2008-09-13 15:33	---------	d-----w	C:\Programme\MyPhoneExplorer
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-03-25 08:03	76	---ha-w	C:\Programme\Desktop.ini
2008-02-16 13:48	47,360	----a-w	C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\pcouffin.sys
.

	Code: 

 ATTFilter

  
	<pre>
----a-w        19,067,997 2008-10-28 07:12:30  C:\Dokumente und Einstellungen\Makie\Eigene Dateien\UseNeXT\alt.binaries.warez.0-day\makes your adware, malware and spyware removal easy and fast! ImVajra Spyware Remover .exe
</pre>
         
 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"GMX_GMX MultiMessenger"="C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-10-09 4785576]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2008-10-20 243072]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2008-08-04 488808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AGEIA PhysX SysTray"="C:\Programme\AGEIA Technologies\TrayIcon.exe" [2006-08-16 339968]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMS-Kalenderchen"="C:\Programme\Kalenderchen\Kalenderchen.exe" [2005-07-20 1445376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0wwxx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6ddxx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 06:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 11:17 61440 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
C:\Programme\Trojan Remover\Trjscan.exe [N/A]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\UseNeXT\\UseNeXT.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImLc.exe"=
"C:\\Programme\\Atari\\Trivial Pursuit Unlimited\\TPPCGerman.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=
"C:\\Programme\\Magentic\\bin\\MgImp.exe"=
"C:\\Programme\\Magentic\\bin\\Magentic.exe"=
"C:\\Programme\\Magentic\\bin\\MgApp.exe"=

R0 ati6ddxx;ati6ddxx;C:\WINDOWS\system32\Drivers\ati6ddxx.sys [2008-10-28 32768]
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-07-19 110304]
S0 ati0wwxx;ati0wwxx;C:\WINDOWS\system32\Drivers\ati0wwxx.sys [ ]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2007-11-26 13352]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Mozilla\Firefox\Profiles\k4luvg4d.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.yahoo.com/r/hf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-28 16:42:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-28 16:46:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-28 15:46:26

Vor Suchlauf: 13 Verzeichnis(se), 63.370.584.064 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 63,431,712,768 Bytes frei

159	--- E O F ---	2008-10-24 19:24:32

cosinus · 28.10.2008, 17:07

C:\WINDOWS\system32\Drivers\ati6ddxx.sys
C:\WINDOWS\system32\Drivers\ati0wwxx.sys

Bitte mal bei Virustotal auswerten lassen und Ergebnisse posten.

Makie · 28.10.2008, 17:07

HIER DIE listing-FILE:File-Upload.net - listing.txt

Makie · 28.10.2008, 17:14

Mir qualmt der Kopf,ich hoffe ich habe alles richtig gemacht!!!?

cosinus · 28.10.2008, 17:17

Bis auf MBAM ist das schonmal okay - werte bitte die o.g. Dateien bei Virustotal aus und poste die Ergebnisse.

Chris4You · 28.10.2008, 17:21

- Doppelpost -
und wech...

)

Makie · 28.10.2008, 18:35

Ich habe jetzt den vollen Scan durchlaufen lassen,die Logfiles gespeichert und
den Inhalt gelöscht.
Hier die Logfiles:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 18:17:21
mbam-log-2008-10-28 (18-17-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 122104
Laufzeit: 28 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ati6ddxx.sys (Rootkit.Agent) -> No action taken.

28.10.2008, 16:53	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Problem Beachte die Anleitungen genauer. Für MBAM solltest Du einen vollen Scan durchführen und die Funde entfernen lassen! __________________ Logfiles bitte immer in CODE-Tags posten

28.10.2008, 17:07	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Problem C:\WINDOWS\system32\Drivers\ati6ddxx.sys C:\WINDOWS\system32\Drivers\ati0wwxx.sys Bitte mal bei Virustotal auswerten lassen und Ergebnisse posten. __________________ Logfiles bitte immer in CODE-Tags posten

28.10.2008, 17:17	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Problem Bis auf MBAM ist das schonmal okay - werte bitte die o.g. Dateien bei Virustotal aus und poste die Ergebnisse. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner Problem

Log-Analyse und Auswertung: Trojaner Problem