Google verlinkt fasch und sperrt Seiten

mash11 · 27.12.2008, 23:36

Hallo Zusammen,

bin absolut neu hier und habe ein großes Problem. Habe Antivir laufen lassen und es wurde der Trojaner "fraudload.vevk" entdeckt. Dieser wurde dann auch gelöscht. Mein Problem blieb aber, und zwar, dass bei Google bestimmte Seiten nicht laufen, wie insbesondere das www.update.microsoft.com, oder auch, dass man einfach woanders hin verlinkt wird. So kommt es, dass die notwendigen Updates von Spybot und ad-aware usw. nicht laufen, und man damit keine Hilfe mehr bekommt. Wenn man versucht upzudaten, kommt dann, dass die Client-Verbindung zu "127.0.0.1" nicht möglich ist.

Ganz schlimm war, dass auch das Log-Erstellungsprogramm HijackThis erst nach Umbennen funktioniert hat. Hier also mit Mühe mein Log-file. Könnt Ihr mir helfen ? Der Virus blockiert alle Reparaturversuche und ist schlau. Hab zwar schon einige Beiträge zu "fraudload" gelesen, diese passen jedoch nicht ganz.

Ach ja, mit Hilfe eines Freundes hab ich unter: windows/system32/drivers/etc/ in der Datei "hosts" jede Menge (ca. 300) unnötiger Internetadressen gefunden. Nach Löschen dieser in der Datei sind diese jedoch nach Neustart wieder da. So wie es aussieht, schreibt hier der Virus wohl rein.

Im Übrigen erfolgt der Neustart meistens aber erst nach "zweimaligem" Hochlaufen bis zum Startmenü. D.h. nach dem ersten Hochlaufen erfolgt dann, ohne etwas zu machen, der Absturz und dann wieder ein erneutes Hochlaufen. Erst dann ist das System stabil und es erfolgt das Verbinden mit dem Internet.

Danke für Eure Mühe.

Mash11

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:53, on 27.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PGPtray.exe.lnk = ?
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom2.icq.oberon-media.com/odyssey_web8.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7007 bytes

undoreal · 28.12.2008, 15:44

Hallöle Mash.

Zitat:

bin absolut neu hier und habe ein großes Problem. Habe Antivir laufen lassen und es wurde der Trojaner "fraudload.vevk" entdeckt. Dieser wurde dann auch gelöscht.

Da fehlt immernoch die Pfadangabe.. Wir brauchen die kompletten Dateinamen und die Pfade zu ihnen. Wie zum Bleistift: C:\WINDOWS\system32\ajkeicn.exe
Die findest du in den Berichten/logs von AntiVir bzw. Spybot.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Dopperlklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

5)

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

mash11 · 29.12.2008, 10:18

Danke für die Hinweise. Werde es abarbeiten. Hoffe, dass die Links gehen.

Hier noch aus Anitivi den Pfad:

:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\wJQs.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vevk
[HINWEIS] Die Datei wurde gelöscht.

mash11 · 29.12.2008, 10:48

Bins nochmal. Systemwiederherstellung ist deaktiviert und Java entfernt.

Leider kann ich Blacklight nicht laufen lassen, da beim Anklicken Seiten-Ladefehler zu

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

kommt.

Was tun?

Mash11

mash11 · 29.12.2008, 22:03

Hallo Combofix ist durchgelaufen und ich musste mich an meinem Router neu anmelden.

Gmer kann ich runterladen. Auch Panda Active Scan geht soweit ich es sehe.

Bei Blacklight Kommt:

Index von ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe/

In den übergeordneten Ordner wechseln
Name Größe Zuletzt verändert

In den übergeordneten Order komme ich, siehe unten.

Wie rufe ich jetzt Blacklight auf ??

Danke.

Übergeorndeter Ordner:

Index von ftp://ftp.f-secure.com/anti-virus/tools/

In den übergeordneten Ordner wechseln
Name Größe Zuletzt verändert
Datei

ownadupRemovalTool.zip 99 KB 02.12.2008 03:11:00
Datei:FixDownadup.exe 92 KB 02.12.2008 03:11:00
Datei:LinkOptimizerRemovalTool.zip 100 KB 01.12.2008 05:57:00
Datei:antifun.txt 2 KB 29.06.2001 00:00:00
Datei:antifun.zip 12 KB 29.06.2001 00:00:00
Datei:antisirc.exe 153 KB 17.08.2001 00:00:00
Datei:antisirc.txt 2 KB 17.08.2001 00:00:00
Datei:antisirc.zip 65 KB 17.08.2001 00:00:00
Datei:audit.htm 30 KB 11.10.2002 00:00:00
Datei:audit.zip 59 KB 11.10.2002 00:00:00
bat 30.06.1999 00:00:00
beta 10.12.2008 14:03:00
Datei:boo32.zip 16 KB 05.07.2000 00:00:00
Datei:brontok_fix.reg 1 KB 15.06.2007 00:00:00
Datei:bt_b_dis.reg 1 KB 26.11.2001 00:00:00
Datei:bt_b_dis.zip 1 KB 26.11.2001 00:00:00
Datei:coolnote.reg 1 KB 31.05.2000 00:00:00
Datei:coolnote.zip 1 KB 21.09.2000 00:00:00
Datei:crc.exe 11 KB 24.11.2000 00:00:00
Datei:dcf53.zip 109 KB 02.06.1997 00:00:00
Datei:f-agobot.exe 3878 KB 29.04.2004 00:00:00
Datei:f-agobot.txt 4 KB 29.04.2004 00:00:00
Datei:f-agobot.zip 3709 KB 29.04.2004 00:00:00
Datei:f-bagle.exe 120 KB 30.03.2005 00:00:00
Datei:f-bagle.jar 74 KB 01.04.2005 00:00:00
Datei:f-bagle.txt 4 KB 30.03.2005 00:00:00
Datei:f-bagle.zip 57 KB 30.03.2005 00:00:00
Datei:f-bot.exe 6049 KB 01.09.2005 00:00:00
Datei:f-bot.jar 5895 KB 01.09.2005 00:00:00
Datei:f-bot.txt 4 KB 01.09.2005 00:00:00
Datei:f-bot.zip 5877 KB 01.09.2005 00:00:00
Datei:f-bugbr.exe 92 KB 06.06.2003 00:00:00
Datei:f-bugbr.txt 4 KB 06.06.2003 00:00:00
Datei:f-bugbr.zip 47 KB 06.06.2003 00:00:00
Datei:f-bugbr_fin.txt 3 KB 03.10.2002 00:00:00
Datei:f-cabir.sis 9 KB 10.08.2005 00:00:00
Datei:f-cabir.txt 2 KB 06.10.2004 00:00:00
Datei:f-cabir.zip 9 KB 11.08.2005 00:00:00
Datei:f-cih.exe 50 KB 25.04.1999 00:00:00
Datei:f-codered.exe 88 KB 14.03.2003 00:00:00
Datei:f-codered.txt 3 KB 14.03.2003 00:00:00
Datei:f-codered.zip 41 KB 14.03.2003 00:00:00
Datei:f-commwarrior.sis 9 KB 21.10.2005 00:00:00
Datei:f-commwarrior.txt 2 KB 20.10.2005 00:00:00
Datei:f-commwarrior.zip 9 KB 24.10.2005 00:00:00
Datei:f-deborm.exe 96 KB 01.08.2003 00:00:00
Datei:f-deborm.txt 3 KB 01.08.2003 00:00:00
Datei:f-deborm.zip 47 KB 01.08.2003 00:00:00
Datei:f-fizzer.exe 89 KB 12.05.2003 00:00:00
Datei:f-fizzer.txt 3 KB 12.05.2003 00:00:00
Datei:f-fizzer.zip 46 KB 12.05.2003 00:00:00
Datei:f-force.zip 230 KB 27.01.2006 00:00:00
Datei:f-hare15.zip 15 KB 02.03.1998 00:00:00
Datei:f-intce.zip 25 KB 02.03.1998 00:00:00
Datei:f-korgo.exe 100 KB 21.06.2004 00:00:00
Datei:f-korgo.jar 66 KB 21.06.2004 00:00:00
Datei:f-korgo.txt 4 KB 21.06.2004 00:00:00
Datei:f-korgo.zip 49 KB 21.06.2004 00:00:00
Datei:f-lgate.exe 95 KB 16.05.2003 00:00:00
Datei:f-lgate.txt 3 KB 16.05.2003 00:00:00
Datei:f-lgate.zip 48 KB 16.05.2003 00:00:00
Datei:f-locknut.sis 2 KB 01.02.2005 00:00:00
Datei:f-locknut.txt 2 KB 01.02.2005 00:00:00
Datei:f-locknut.zip 3 KB 01.02.2005 00:00:00
Datei:f-lovsan.exe 96 KB 29.08.2003 00:00:00
Datei:f-lovsan.jar 57 KB 29.08.2003 00:00:00
Datei:f-lovsan.txt 2 KB 29.08.2003 00:00:00
Datei:f-lovsan.zip 47 KB 29.08.2003 00:00:00
Datei:f-mem10.zip 28 KB 02.03.1998 00:00:00
Datei:f-mydoom.exe 124 KB 28.01.2005 00:00:00
Datei:f-mydoom.jar 78 KB 31.01.2005 00:00:00
Datei:f-mydoom.txt 3 KB 28.01.2005 00:00:00
Datei:f-mydoom.zip 60 KB 28.01.2005 00:00:00
Datei:f-mydoomf.exe 136 KB 25.02.2004 00:00:00
Datei:f-mydoomf.txt 2 KB 25.02.2004 00:00:00
Datei:f-mydoomf.zip 64 KB 25.02.2004 00:00:00
Datei:f-netsky.exe 136 KB 20.10.2004 00:00:00
Datei:f-netsky.jar 81 KB 22.10.2004 00:00:00
Datei:f-netsky.txt 4 KB 20.10.2004 00:00:00
Datei:f-netsky.zip 64 KB 20.10.2004 00:00:00
Datei:f-opasrv.exe 88 KB 18.11.2002 00:00:00
Datei:f-opasrv.txt 4 KB 30.10.2002 00:00:00
Datei:f-opasrv.zip 45 KB 18.11.2002 00:00:00
Datei:f-parite.com 7546 KB 18.05.2006 00:00:00
Datei:f-parite.txt 4 KB 18.05.2006 00:00:00
Datei:f-parite.zip 7346 KB 18.05.2006 00:00:00
Datei:f-roron.exe 100 KB 15.05.2003 00:00:00
Datei:f-roron.txt 6 KB 15.05.2003 00:00:00
Datei:f-roron.zip 49 KB 15.05.2003 00:00:00
Datei:f-sasser.exe 90 KB 12.05.2004 00:00:00
Datei:f-sasser.jar 63 KB 18.05.2004 00:00:00
Datei:f-sasser.txt 4 KB 14.05.2004 00:00:00
Datei:f-sasser.zip 46 KB 14.05.2004 00:00:00
Datei:f-sdbot.exe 104 KB 14.05.2004 00:00:00
Datei:f-sdbot.jar 65 KB 14.05.2004 00:00:00
Datei:f-sdbot.txt 3 KB 14.05.2004 00:00:00
Datei:f-sdbot.zip 49 KB 14.05.2004 00:00:00
Datei:f-shell.zip 13 KB 02.03.1998 00:00:00
Datei:f-skulls.sis 2 KB 26.01.2005 00:00:00
Datei:f-skulls.txt 2 KB 26.01.2005 00:00:00
Datei:f-skulls.zip 3 KB 26.01.2005 00:00:00
Datei:f-slammer.txt 2 KB 28.01.2003 00:00:00
Datei:f-slammer.zip 27 KB 28.01.2003 00:00:00
Datei:f-sobig.exe 104 KB 19.08.2003 00:00:00
Datei:f-sobig.jar 58 KB 20.08.2003 00:00:00
Datei:f-sobig.txt 4 KB 19.08.2003 00:00:00
Datei:f-sobig.zip 49 KB 19.08.2003 00:00:00
Datei:f-span13.zip 13 KB 02.03.1998 00:00:00
Datei:f-tent10.zip 12 KB 02.03.1998 00:00:00
Datei:f-trickl.zip 47 KB 02.03.1998 00:00:00
Datei:f-vice14.zip 46 KB 02.03.1998 00:00:00
Datei:f-vmonde.exe 61 KB 17.04.2008 00:00:00
Datei:f-vmonde.txt 1 KB 17.04.2008 00:00:00
Datei:f-vmonde.zip 33 KB 17.04.2008 00:00:00
Datei:f-warpigs.exe 96 KB 23.07.2003 00:00:00
Datei:f-warpigs.txt 3 KB 23.07.2003 00:00:00
Datei:f-warpigs.zip 46 KB 23.07.2003 00:00:00
Datei:f-welchi.exe 96 KB 19.08.2003 00:00:00
Datei:f-welchi.jar 58 KB 20.08.2003 00:00:00
Datei:f-welchi.txt 3 KB 19.08.2003 00:00:00
Datei:f-welchi.zip 48 KB 19.08.2003 00:00:00
Datei:f-zafi.exe 104 KB 23.02.2005 00:00:00
Datei:f-zafi.jar 67 KB 25.02.2005 00:00:00
Datei:f-zafi.txt 3 KB 23.02.2005 00:00:00
Datei:f-zafi.zip 49 KB 23.02.2005 00:00:00
Datei:feedel_key.zip 63 KB 03.12.2008 09:10:00
Datei:fix_aula.reg 3 KB 09.02.2001 00:00:00
Datei:fix_aula.zip 1 KB 09.02.2001 00:00:00
Datei:fix_fizz.reg 1 KB 12.05.2003 00:00:00
Datei:fix_fizz.zip 1 KB 12.05.2003 00:00:00
Datei:fixboot.zip 9 KB 25.05.1998 00:00:00
Datei:fixpe.zip 21 KB 23.05.2001 00:00:00
Datei:fixpe2.zip 22 KB 23.05.2001 00:00:00
Datei:fp-def.txt 1 KB 03.02.2000 00:00:00
fp-def.zip 27.11.2007 00:00:00
Datei:fsauto.zip 3 KB 03.08.1999 00:00:00
Datei:fsbl.exe 1111 KB 30.09.2008 09:07:00
Datei:fsklez.exe 1422 KB 15.01.2003 00:00:00
Datei:fsklez.txt 3 KB 22.11.2001 00:00:00
fsmacro.def 27.11.2007 00:00:00
Datei:fsmacro.txt 1 KB 15.11.2001 00:00:00
fsmacro.zip 27.11.2007 00:00:00
Datei:fsnimda.exe 1396 KB 15.01.2003 00:00:00
Datei:fsnimda.txt 3 KB 02.11.2001 00:00:00
Datei:fsnimda3.exe 1417 KB 31.10.2001 00:00:00
Datei:fsnimda3.jar 1400 KB 31.10.2001 00:00:00
Datei:fsnimda3.txt 3 KB 31.10.2001 00:00:00
Datei:getmac11.zip 4 KB 22.12.1997 00:00:00
Datei:getmac12.zip 12 KB 16.06.1998 00:00:00
Datei:getmac13.zip 22 KB 30.03.1999 00:00:00
Datei:getmbr.zip 13 KB 03.06.1993 00:00:00
Datei:gokardis.reg 1 KB 13.12.2001 00:00:00
Datei:gokardis.txt 1 KB 13.12.2001 00:00:00
Datei:gokardis.zip 1 KB 13.12.2001 00:00:00
hotfix 20.06.2000 00:00:00
Datei:kiraydis.reg 1 KB 01.08.2001 00:00:00
Datei:kiraydis.zip 1 KB 23.10.2001 00:00:00
Datei:kleztool.com 141 KB 10.01.2003 00:00:00
Datei:kleztool.txt 4 KB 15.01.2003 00:00:00
Datei:kleztool.zip 63 KB 15.01.2003 00:00:00
Datei:lirvtool.com 141 KB 10.01.2003 00:00:00
Datei:lirvtool.txt 4 KB 15.01.2003 00:00:00
Datei:lirvtool.zip 63 KB 15.01.2003 00:00:00
Datei:magb_dis.txt 1 KB 05.09.2001 00:00:00
Datei:magb_dis.zip 2 KB 13.09.2001 00:00:00
Datei:magold_fix.reg 1 KB 20.06.2003 00:00:00
Datei:magold_fix.txt 1 KB 20.06.2003 00:00:00
Datei:matrix_d.reg 1 KB 03.04.2000 00:00:00
Datei:matrix_d.zip 1 KB 21.09.2000 00:00:00
Datei:mtxdisin.reg 1 KB 19.09.2000 00:00:00
Datei:mtxdisin.zip 1 KB 21.09.2000 00:00:00
Datei:multicom.zip 76 KB 29.07.1999 00:00:00
Datei:naviddis.reg 1 KB 07.11.2000 00:00:00
Datei:naviddis.zip 1 KB 07.11.2000 00:00:00
nt 15.11.2001 00:00:00
old 30.10.2002 00:00:00
Datei

pastool.com 141 KB 10.01.2003 00:00:00
Datei

pastool.txt 4 KB 15.01.2003 00:00:00
Datei

pastool.zip 63 KB 15.01.2003 00:00:00
Datei

olicy.txt 1 KB 29.04.2004 00:00:00
Datei

pdisinf.reg 1 KB 13.03.2000 00:00:00
Datei

pdisinf.zip 1 KB 21.09.2000 00:00:00
Datei:qazdisin.reg 1 KB 24.08.2000 00:00:00
Datei:qazdisin.zip 1 KB 21.09.2000 00:00:00
removal 03.04.2001 00:00:00
Datei:s7disinf.reg 1 KB 14.03.2000 00:00:00
Datei:s7disinf.zip 1 KB 21.09.2000 00:00:00
Datei:shellfix.reg 1 KB 23.11.2001 00:00:00
Datei:shellfix.txt 2 KB 18.03.2002 00:00:00
Datei:shellfix.zip 2 KB 18.03.2002 00:00:00
sign.def 27.11.2007 00:00:00
sign2.def 27.11.2007 00:00:00
Datei:sirc_dis.reg 1 KB 22.07.2001 00:00:00
Datei:sirc_dis.zip 1 KB 22.07.2001 00:00:00
Datei:sober_p_disinfect.bat 2 KB 13.05.2005 00:00:00
Datei:sober_p_disinfect.txt 3 KB 16.05.2005 00:00:00
Datei:sober_p_disinfect.zip 1 KB 13.05.2005 00:00:00
Datei:sober_s_disinfect.bat 2 KB 06.10.2005 00:00:00
Datei:sober_s_disinfect.txt 3 KB 06.10.2005 00:00:00
Datei:sober_s_disinfect.zip 2 KB 06.10.2005 00:00:00
Datei:stagesw9x.reg 1 KB 15.11.2000 00:00:00
Datei:stagesw9x.zip 1 KB 15.11.2000 00:00:00
Datei:swenfix.exe 4 KB 24.09.2003 00:00:00
Datei:swenfix.zip 1 KB 25.09.2003 00:00:00
Datei:swentool.com 217 KB 19.09.2003 00:00:00
Datei:swentool.txt 4 KB 19.09.2003 00:00:00
Datei:swentool.zip 101 KB 19.09.2003 00:00:00
Datei:tools.txt 13 KB 10.07.2002 00:00:00
update.ini 27.11.2007 00:00:00
update.md5 27.11.2007 00:00:00
Datei:yaha_fix.reg 1 KB 14.03.2000 00:00:00
Datei:yaha_fix.txt 1 KB 13.12.2002 00:00:00
Datei:yahatool.com 141 KB 10.01.2003 00:00:00
Datei:yahatool.txt 4 KB 15.01.2003 00:00:00
Datei:yahatool.zip

undoreal · 30.12.2008, 11:45

Poste bitte das CF log! Poste generel alle logs die anfallen!

Kannst du im übergeordneten Ordner diese Datei auswählen und dowloaden?

Zitat:

Datei:fsbl.exe 1111 KB 30.09.2008 09:07:00

Wahrscheinlich nicht oder?

Dann poste bitte das GMER log.

mash11 · 30.12.2008, 12:56

Danke für die weitere Hilfe. Leider kann ich die fsbl.exe nicht downloaden, tut sich nichts.

Werde jetzt GMER versuchen und log posten.

Hier das CF log:

ComboFix 08-12-28.04 - Matthias 2008-12-29 20:38:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.211 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Matthias\Desktop\ComboFix2.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\programme\MyWay
c:\programme\MyWay\myBar\1.bin\PARTNER.DAT
c:\programme\MyWay\myBar\Cache\00012E2F
c:\programme\MyWay\myBar\Cache\0001A18A
c:\programme\MyWay\myBar\Cache\0002018C
c:\programme\MyWay\myBar\Cache\0002040D
c:\programme\MyWay\myBar\Cache\0003F00E
c:\programme\MyWay\myBar\Cache\0003F5AC
c:\programme\MyWay\myBar\Cache\00043DD0.bin
c:\programme\MyWay\myBar\Cache\00044D13.bin
c:\programme\MyWay\myBar\Cache\000456A8.bin
c:\programme\MyWay\myBar\Cache\0004AECA.bin
c:\programme\MyWay\myBar\Cache\0004C81F.bin
c:\programme\MyWay\myBar\Cache\0004C9B5.bin
c:\programme\MyWay\myBar\Cache\0009929F
c:\programme\MyWay\myBar\Cache\000E2D45
c:\programme\MyWay\myBar\Cache\002AFBF7
c:\programme\MyWay\myBar\Cache\002B1367.bmp
c:\programme\MyWay\myBar\Cache\002B27BA.bmp
c:\programme\MyWay\myBar\Cache\002B4739.bmp
c:\programme\MyWay\myBar\Cache\002D6AC5
c:\programme\MyWay\myBar\Cache\00C88957
c:\programme\MyWay\myBar\Cache\00D08DD4
c:\programme\MyWay\myBar\Cache\files.ini
c:\programme\MyWay\myBar\History\search
c:\programme\MyWay\myBar\Settings\prevcfg.htm
c:\programme\MyWay\myBar\Settings\settings.dat
c:\programme\MyWay\myBar\Settings\settings.dat.bak
c:\programme\MyWay\myBar\Settings\settings.htm
c:\programme\MyWay\myBar\Settings\settings.htm.bak
c:\programme\Need2Find
c:\windows\smdat32m.sys
c:\windows\system32\Bank.dll
c:\windows\system32\drivers\TDSSmhct.sys
c:\windows\system32\TDSShrsr.dll
c:\windows\system32\TDSSkkbi.log
c:\windows\system32\TDSSlxwp.dll
c:\windows\system32\TDSSoiqn.dll
c:\windows\system32\TDSSorvd.dat
c:\windows\system32\TDSSrtqp.dll
c:\windows\system32\TDSSxfum.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys

((((((((((((((((((((((( Dateien erstellt von 2008-11-28 bis 2008-12-29 ))))))))))))))))))))))))))))))
.

2008-12-27 20:55 . 2008-12-27 20:55 <DIR> d-------- c:\programme\Lavasoft
2008-12-27 20:55 . 2008-12-27 20:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-12-27 20:54 . 2008-12-27 20:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-27 20:44 . 2008-12-27 20:45 <DIR> d-------- c:\programme\Spyware Doctor
2008-12-27 20:44 . 2008-12-27 20:44 <DIR> d-------- c:\dokumente und einstellungen\Matthias\Anwendungsdaten\PC Tools
2008-12-27 20:44 . 2008-12-29 21:04 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-27 20:44 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2008-12-27 20:44 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2008-12-27 20:44 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2008-12-27 20:44 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2008-12-27 18:37 . 2008-12-27 18:37 <DIR> d-------- c:\programme\Trend Micro
2008-12-21 15:18 . 2008-12-28 13:19 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-12-21 15:18 . 2008-12-28 13:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-21 12:40 . 2008-12-21 12:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd
2008-11-30 09:07 . 2008-12-27 12:50 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-30 09:07 . 2008-11-30 09:07 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-29 09:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-28 11:57 48,606 ----a-w c:\dokumente und einstellungen\Matthias\Anwendungsdaten\wklnhst.dat
2008-12-27 20:47 13,440 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2008-12-21 15:54 --------- d-----w c:\programme\INSTAFINK
2008-12-03 09:10 --------- d-----w c:\dokumente und einstellungen\Lisa\Anwendungsdaten\AdobeUM
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2006-06-07 08:22 88,440 ----a-w c:\dokumente und einstellungen\Matthias\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-02 20:42 0 ----a-w c:\dokumente und einstellungen\Lisa\Anwendungsdaten\wklnhst.dat
2003-02-28 10:32 11,776 ----a-w c:\windows\inf\dt1054dataoem_wxp.exe
2002-11-14 20:32 55,808 ----a-w c:\windows\inf\devcon1054data.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HBRemind"="c:\programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe" [2002-09-25 45056]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 335872]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-02-04 151597]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2004-03-31 98304]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2004-02-04 61440]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-04-06 1298542]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"mmtask"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2004-02-04 53248]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264]
"Cmaudio"="cmicnfg.cpl" [2004-01-07 c:\windows\CMICNFG.CPL]
"Dit"="Dit.exe" [2003-12-29 c:\windows\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-05 c:\windows\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 c:\windows\CNYHKey.exe]
"Prism_Utility"="Prismsta.exe" [2004-01-14 c:\windows\system32\PRISMSTA.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
PGPtray.exe.lnk - c:\windows\Installer\{524273E4-09FA-4DC4-8ACF-9C4F74E00FD3}\Icon6560581611.exe [2006-02-15 55296]
Sinus 1054 data WLAN Manager.lnk - c:\windows\Installer\{BC09EF51-99D1-4044-ABCB-D14839E38D79}\NewShortcut2.exe [2005-04-09 1406]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=OCMAPIHK.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b48e715-1b61-11dc-900d-0003c974f7b1}]
\Shell\AutoRun\command - H:\LaunchU3.exe -a
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
HKLM-Run-WinampAgent - c:\programme\Winamp\wianmpa.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
LSP: c:\windows\system32\PGPlsp.dll
Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll
Handler: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - c:\windows\wc98pp.dll

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\RdxIE.dll - O16 -: {56336BCB-3D8A-11D6-A00B-0050DA18DE71}
hxxp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
FF - ProfilePath - c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\g9pek8k9.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.
.
------- Dateityp-Verknüpfung -------
.
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-29 21:20:30
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSmhct.sys"
.
Zeit der Fertigstellung: 2008-12-29 21:41:19
ComboFix-quarantined-files.txt 2008-12-29 20:41:16

Vor Suchlauf: 25 Verzeichnis(se), 57,434,570,752 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 57,724,616,704 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

195 --- E O F --- 2008-12-19 17:00:49

undoreal · 30.12.2008, 13:08

Starte den Rechner bitte neu.

Kannst du Blacklight nun downloaden? Sollte eigentlich gehen...

Wenn nicht dann geht's mit GMER weiter.

PS: Deinstalliere bei Gelegenheit AdAware und Spybot!

mash11 · 30.12.2008, 13:21

Hier das Log von Gmer: Teil 1:

text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[844] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\WINDOWS\System32\svchost.exe[844] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, A9, 85 ]
.text C:\WINDOWS\System32\svchost.exe[844] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\WINDOWS\System32\svchost.exe[844] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 2C, 84 ]
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\Programme\Ahead\InCD\InCDsrv.exe[864] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\WINDOWS\System32\svchost.exe[964] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 2A, 84 ]
.text C:\WINDOWS\System32\svchost.exe[964] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\WINDOWS\System32\svchost.exe[964] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\svchost.exe[1020] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\WINDOWS\System32\svchost.exe[1020] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 1F, 84 ]
.text C:\WINDOWS\System32\svchost.exe[1020] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\WINDOWS\System32\svchost.exe[1020] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, CE, 87 ]
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1268] USER32.dll!SetWindowsHookExA

mash11 · 30.12.2008, 13:28

Hier der untere Teil vom GMER Log: Alles ging nicht zum Posten !!

Danke.

text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, BE, 83 ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, EF, F4 ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe[3296] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 69, 84 ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, EF, F4 ]
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A
.text C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe[3724] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Ntfs \Ntfs PGPsdk.sys (PGP Software Development Kit NT Driver/PGP Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmhct.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmhct.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqn.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSorvd.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSShrsr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSrtqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhyp.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkbi.log

---- EOF - GMER 1.0.14 ----

undoreal · 30.12.2008, 14:17

Deinstalliere bitte Spybot und AdAware!

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
c:\windows\system32\TDSSlxwp.dll
c:\windows\system32\TDSSserv.sys
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSsihc.dll
c:\windows\system32\TDSSrhyp.log
c:\windows\system32\TDSSkkbi.log

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Räume danach mit dem CCleaner auf (Punkte 1&2). Starte den Rechner neu.

Kannst du Blacklight jetzt downloaden??

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\windows\system32\drivers\kcom.sys
c:\windows\system32\drivers\ikfilesec.sys
c:\windows\system32\drivers\iksysflt.sys
c:\windows\system32\drivers\iksyssec.sys
c:\dokumente und einstellungen\Matthias\Anwendungsdaten\wklnhst.dat
c:\dokumente und einstellungen\Matthias\Anwendungsdaten\GDIPFONTCAC HEV1.DAT
c:\dokumente und einstellungen\Lisa\Anwendungsdaten\wklnhst.dat
c:\windows\inf\dt1054dataoem_wxp.exe
c:\windows\inf\devcon1054data.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

mash11 · 30.12.2008, 17:37

Hallo undoreal,

a. Blacklight ist ohne Probleme durchgelaufen und hat nichts gefunden !

b. Avenger Report habe ich gepostet.

c. Gmer lief auch problemlos, log hab ich gepostet.

d.
Virustotal ohne Ergebnisse für die Datei von Deiner Liste. 5 Datein sind davon bei mir nicht mehr vorhanden. Ergebnis der verbleibenden Datein wird auch gepostet.

e.
Activescan von Panda wird gepostet. So wie es aussieht, wir nur combofix2.exe als kritisch betrachtet. Kann aber nicht m.E. nicht sein. Zur Erklärung habe das heruntergeladene combofix vor seinem Durchlauf umbenannt in combofix2, da schon eine nichtlauffähige Version auf dem Destop war und damit gestartet.

Bin ich jetzt geheilt ? Darf ich Systemwiederherstellung aktivieren und anitvir und spybot wieder installieren?

Extremes Dankeschön schon im Voraus...

mash11

a:
12/30/08 15:43:02 [Info]: BlackLight Engine 2.2.1092 initialized
12/30/08 15:43:02 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/30/08 15:43:03 [Note]: 7019 4
12/30/08 15:43:03 [Note]: 7005 0
12/30/08 15:43:06 [Note]: 7006 0
12/30/08 15:43:06 [Note]: 7011 1640
12/30/08 15:43:06 [Note]: 7035 0
12/30/08 15:43:06 [Note]: 7026 0
12/30/08 15:43:06 [Note]: 7026 0
12/30/08 15:43:08 [Note]: FSRAW library version 1.7.1024
12/30/08 16:00:48 [Note]: 7007 0

b:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "c:\windows\system32\TDSSlxwp.dll" not found!
Deletion of file "c:\windows\system32\TDSSlxwp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\TDSSserv.sys" not found!
Deletion of file "c:\windows\system32\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\TDSSnmxh.log" not found!
Deletion of file "c:\windows\system32\TDSSnmxh.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\TDSSsihc.dll" not found!
Deletion of file "c:\windows\system32\TDSSsihc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\TDSSrhyp.log" not found!
Deletion of file "c:\windows\system32\TDSSrhyp.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\TDSSkkbi.log" not found!
Deletion of file "c:\windows\system32\TDSSkkbi.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

c:
MER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-30 16:12:30
Windows 5.1.2600 Service Pack 3

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs PGPsdk.sys (PGP Software Development Kit NT Driver/PGP Corporation)
AttachedDevice \FileSystem\Fastfat \Fat PGPsdk.sys (PGP Software Development Kit NT Driver/PGP Corporation)

---- EOF - GMER 1.0.14 ----

d: virustotal: 4 Datein einzeln geprüft. Hier die Ergebnisse:

1.------------------------
Datei wklnhst.dat empfangen 2008.12.30 16:20:39 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 8.
Geschätzte Startzeit ist zwischen 93 und 133 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2008.12.30 -
AhnLab-V3 2008.12.31.0 2008.12.30 -
AntiVir 7.9.0.45 2008.12.30 -
Authentium 5.1.0.4 2008.12.30 -
Avast 4.8.1281.0 2008.12.30 -
AVG 8.0.0.199 2008.12.30 -
BitDefender 7.2 2008.12.30 -
CAT-QuickHeal 10.00 2008.12.30 -
ClamAV 0.94.1 2008.12.30 -
Comodo 837 2008.12.29 -
DrWeb 4.44.0.09170 2008.12.30 -
eSafe 7.0.17.0 2008.12.28 -
eTrust-Vet 31.6.6281 2008.12.29 -
Ewido 4.0 2008.12.30 -
F-Prot 4.4.4.56 2008.12.29 -
F-Secure 8.0.14470.0 2008.12.30 -
Fortinet 3.117.0.0 2008.12.30 -
GData 19 2008.12.30 -
Ikarus T3.1.1.45.0 2008.12.30 -
K7AntiVirus 7.10.571 2008.12.30 -
Kaspersky 7.0.0.125 2008.12.30 -
McAfee 5478 2008.12.29 -
McAfee+Artemis 5478 2008.12.29 -
Microsoft 1.4205 2008.12.30 -
NOD32 3723 2008.12.30 -
Norman 5.80.02 2008.12.30 -
Panda 9.0.0.4 2008.12.29 -
PCTools 4.4.2.0 2008.12.30 -
Prevx1 V2 2008.12.30 -
Rising 21.10.12.00 2008.12.30 -
SecureWeb-Gateway 6.7.6 2008.12.30 -
Sophos 4.37.0 2008.12.30 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.30 -
TheHacker 6.3.1.4.202 2008.12.30 -
TrendMicro 8.700.0.1004 2008.12.30 -
VBA32 3.12.8.10 2008.12.30 -
ViRobot 2008.12.30.1540 2008.12.30 -
VirusBuster 4.5.11.0 2008.12.30 -
weitere Informationen
File size: 48606 bytes
MD5...: fe75032166101a3aa2025b6ebe5c2441
SHA1..: 3ab267704948913dbe0ed9f66d8e98761ddcfe1e
SHA256: ac987b080cf4c0aedc8529fd740782ed08b6070ced1bc91892caa44cb28d45c2
SHA512: 6575449da142ce9f0ea0c2ffcd8e7817d4e1d077e6ba91925f1e051cc4a34ab5
e06cfe46b8bc4511216b30916afbaa8002d92e20abeef981a9fa9530c7e62500
ssdeep: 384:im/pGtepkhF37Tj9Iv8YGsCvXDLWvclkC9CleswUjvbldzP0kskJP9n2cI4w
mTVI:ybLJj
PEiD..: -
TrID..: File type identification
Lumena CEL bitmap (58.3%)
Corel Photo Paint (37.9%)
MS Flight Simulator Aircraft Performance Info (3.7%)
PEInfo: -

2.-------------------------------------------------------------
c:\dokumente und einstellungen\Lisa\Anwendungsdaten\wklnhst.dat
0 bytes size received / Se ha recibido un archivo vacio

3.--------------------------------------------------------------------------
Datei dt1054dataoem_wxp.exe empfangen 2008.12.30 16:27:13 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2008.12.30 -
AhnLab-V3 2008.12.31.0 2008.12.30 -
AntiVir 7.9.0.45 2008.12.30 -
Authentium 5.1.0.4 2008.12.30 -
Avast 4.8.1281.0 2008.12.30 -
AVG 8.0.0.199 2008.12.30 -
BitDefender 7.2 2008.12.30 -
CAT-QuickHeal 10.00 2008.12.30 -
ClamAV 0.94.1 2008.12.30 -
Comodo 837 2008.12.29 -
DrWeb 4.44.0.09170 2008.12.30 -
eSafe 7.0.17.0 2008.12.28 -
eTrust-Vet 31.6.6281 2008.12.29 -
Ewido 4.0 2008.12.30 -
F-Prot 4.4.4.56 2008.12.29 -
F-Secure 8.0.14470.0 2008.12.30 -
Fortinet 3.117.0.0 2008.12.30 -
GData 19 2008.12.30 -
Ikarus T3.1.1.45.0 2008.12.30 -
K7AntiVirus 7.10.571 2008.12.30 -
Kaspersky 7.0.0.125 2008.12.30 -
McAfee 5478 2008.12.29 -
McAfee+Artemis 5478 2008.12.29 -
Microsoft 1.4205 2008.12.30 -
NOD32 3723 2008.12.30 -
Norman 5.80.02 2008.12.30 -
Panda 9.0.0.4 2008.12.29 -
PCTools 4.4.2.0 2008.12.30 -
Prevx1 V2 2008.12.30 -
Rising 21.10.12.00 2008.12.30 -
SecureWeb-Gateway 6.7.6 2008.12.30 -
Sophos 4.37.0 2008.12.30 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.30 -
TheHacker 6.3.1.4.202 2008.12.30 -
TrendMicro 8.700.0.1004 2008.12.30 -
VBA32 3.12.8.10 2008.12.30 -
ViRobot 2008.12.30.1540 2008.12.30 -
VirusBuster 4.5.11.0 2008.12.30 -
weitere Informationen
File size: 11776 bytes
MD5...: fd614a6295d2ef1b36cba8f412c8a909
SHA1..: 26ed114fb8f1a588874afe0abb57a597e9221e09
SHA256: 8d667b1a6c463ab710775620e7bfd77fb37fd330acf005d5448bc3462d1d68ab
SHA512: 6791257b47daddf0ef23d51439b7ee57b6550f9f81a2e9788a84d3b99af65688
6ac19aaaab1ab31bd120569d5fa0cd4709aac96a2cca970722d310e5a448cf41
ssdeep: 192:fvX0QcEk7h3z/QWe8oycA8swdudhRUMk7u5:fP0QcEk7pN0y0iHUw5
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002cad
timedatestamp.....: 0x3e5f48af (Fri Feb 28 11:31:59 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2260 0x2400 5.41 fc21ef343e01bcabd588c0100d574334
.data 0x4000 0x5c 0x200 0.24 9e1393a0ed75220e586c6cfa208de018
.rsrc 0x5000 0x3d0 0x400 3.25 606bd58a295330439e10823da3eb8431

( 4 imports )
> msvcrt.dll: _c_exit, _exit, _XcptFilter, _cexit, __winitenv, __wgetmainargs, _initterm, __setusermatherr, wcslen, __p__commode, __p__fmode, __set_app_type, _controlfp, _except_handler3, vwprintf, _iob, fflush, iswprint, wcscpy, exit, wcschr, wprintf, _adjust_fdiv, tolower
> KERNEL32.dll: GetModuleHandleA, GetLastError
> ole32.dll: CoCreateInstance, CoUninitialize, CoTaskMemFree, CoInitializeEx
> SETUPAPI.dll: SetupDiGetClassDevsW, SetupCopyOEMInfW, SetupDiEnumDeviceInfo, SetupDiGetDeviceInstanceIdW, SetupDiGetDeviceRegistryPropertyW, SetupDiDestroyDeviceInfoList

( 0 exports )

4.--------------------------------------------------------------------------------

Datei devcon1054data.exe empfangen 2008.12.30 16:32:39 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/37 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2008.12.30 -
AhnLab-V3 2008.12.31.0 2008.12.30 -
AntiVir 7.9.0.45 2008.12.30 -
Authentium 5.1.0.4 2008.12.30 -
Avast 4.8.1281.0 2008.12.30 -
AVG 8.0.0.199 2008.12.30 -
BitDefender 7.2 2008.12.30 -
CAT-QuickHeal 10.00 2008.12.30 -
ClamAV 0.94.1 2008.12.30 -
Comodo 837 2008.12.29 -
DrWeb 4.44.0.09170 2008.12.30 -
eSafe 7.0.17.0 2008.12.28 -
eTrust-Vet 31.6.6281 2008.12.29 -
Ewido 4.0 2008.12.30 -
F-Prot 4.4.4.56 2008.12.29 -
Fortinet 3.117.0.0 2008.12.30 -
GData 19 2008.12.30 -
Ikarus T3.1.1.45.0 2008.12.30 -
K7AntiVirus 7.10.571 2008.12.30 -
Kaspersky 7.0.0.125 2008.12.30 -
McAfee 5478 2008.12.29 -
McAfee+Artemis 5478 2008.12.29 -
Microsoft 1.4205 2008.12.30 -
NOD32 3723 2008.12.30 -
Norman 5.80.02 2008.12.30 -
Panda 9.0.0.4 2008.12.29 -
PCTools 4.4.2.0 2008.12.30 -
Rising 21.10.12.00 2008.12.30 -
SecureWeb-Gateway 6.7.6 2008.12.30 -
Sophos 4.37.0 2008.12.30 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.30 -
TheHacker 6.3.1.4.202 2008.12.30 -
TrendMicro 8.700.0.1004 2008.12.30 -
VBA32 3.12.8.10 2008.12.30 -
ViRobot 2008.12.30.1540 2008.12.30 -
VirusBuster 4.5.11.0 2008.12.30 -
weitere Informationen
File size: 55808 bytes
MD5...: c4b470269324517ee838789c7cf5e606
SHA1..: 7005597d55fb26c6260e0772f301c79f030e6d56
SHA256: 5f9b898315ad8192e87e21a499fd87d31b886513bb39d368476174aaa89a2bf9
SHA512: dbadca544434a847238bf107e59aa84bf8df9df899d0c2da2ee62cc28e12d175
a81d4e4e0f85d7c394323bf66fb4ac0f413c949700ecdec9a73ed5cf9340aebb
ssdeep: 768:xgEuhGUsQ9Z7lVQpjagwpKsQt2IJU1evxHs4gZWk:+1/9ZisQtBU4xHeW
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1005211
timedatestamp.....: 0x3dd494e5 (Fri Nov 15 06:32:05 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4f84 0x5000 6.27 5f8a8dca003d2c31cf725d2b8bbc5186
.data 0x6000 0x1d8 0x200 3.47 392c4015f20ad7f35ade0d1d52bec883
.rsrc 0x7000 0x8330 0x8400 3.48 7787497ef0ec11f563c9dd1aa1e8d93f

( 5 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryW, GetFileAttributesW, GetFullPathNameW, TerminateProcess, GetModuleHandleA, FreeLibrary, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, lstrcpynW, FileTimeToSystemTime, GetDateFormatW, lstrcpyW, lstrlenW, GetLastError, GetCurrentProcess, CloseHandle, LocalFree, FormatMessageW, QueryPerformanceCounter
> msvcrt.dll: fputws, fputs, _iob, __3@YAXPAX@Z, __2@YAPAXI@Z, wcschr, towlower, towupper, iswalpha, _wcsnicmp, _wcsicmp, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __wgetmainargs, __winitenv, exit, _cexit, _XcptFilter, _exit, _c_exit, wcscmp, wprintf, wcsrchr
> ADVAPI32.dll: OpenProcessToken, LookupPrivilegeValueW, RegQueryValueExW, RegCloseKey, RegDeleteValueW, RegSetValueExW, CloseServiceHandle, OpenServiceW, OpenSCManagerW, AdjustTokenPrivileges
> SETUPAPI.dll: SetupDiClassGuidsFromNameExW, CM_Free_Log_Conf_Handle, CM_Get_Next_Res_Des_Ex, CM_Free_Res_Des_Handle, CM_Get_Res_Des_Data_Size_Ex, CM_Connect_MachineW, CM_Locate_DevNode_ExW, CM_Reenumerate_DevNode_Ex, CM_Disconnect_Machine, SetupDiGetINFClassW, SetupDiCreateDeviceInfoList, SetupDiCreateDeviceInfoW, SetupDiSetDeviceRegistryPropertyW, SetupDiSetClassInstallParamsW, SetupDiBuildClassInfoListExW, SetupDiClassNameFromGuidExW, SetupDiGetClassDescriptionExW, SetupDiOpenClassRegKeyExW, SetupDiGetDriverInstallParamsW, SetupDiSetSelectedDriverW, SetupOpenFileQueue, SetupDiCallClassInstaller, SetupScanFileQueueW, SetupCloseFileQueue, SetupDiGetDeviceInstallParamsW, SetupDiSetDeviceInstallParamsW, SetupDiBuildDriverInfoList, SetupDiEnumDriverInfoW, SetupDiOpenDevRegKey, SetupDiGetDriverInfoDetailW, SetupDiDestroyDriverInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, CM_Get_Device_ID_ExW, SetupDiGetDeviceInfoListDetailW, SetupDiOpenDeviceInfoW, SetupDiGetClassDevsExW, SetupDiCreateDeviceInfoListExW, CM_Get_Res_Des_Data_Ex, CM_Get_DevNode_Status_Ex, CM_Get_First_Log_Conf_Ex
> USER32.dll: ExitWindowsEx, CharNextW, LoadStringW, CharPrevW

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c4b470269324517ee838789c7cf5e606' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c4b470269324517ee838789c7cf5e606</a>

mash11 · 31.12.2008, 10:50

Hier noch mein aktuelles Highjacklog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:05, on 31.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PGPtray.exe.lnk = ?
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom2.icq.oberon-media.com/odyssey_web8.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5859 bytes

undoreal · 31.12.2008, 12:48

Warum hast du Avira AntiVir deinstalliert??

Ich sprach davon, dass du Lavasoft's AdAware und Spybot S&D deinstallieren sollst.

Die sollen auch deinstalliert bleiben! Spybot und AdAware taugen garnichts!

Installiere AntiVir und gut ist.

Systemwiederherstellung kann wieder aktiviert werden.

Wo ist der Panda Bericht?

Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

mash11 · 31.12.2008, 15:11

Hallo Undoreal,

hier noch mein Panda-Bericht. Ging in der Hektik unter. Und vielen Dank für die Hinweise, werde mich künftig daran halten. Rutsche gut nach 09 rüber.

Besten Dank an dich und das klasse Board.

mash11

Teil 1:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2008-12-30 17:21:06
PROTECTIONS: 607
MALWARE: 22
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.136
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.77
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.66
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.104
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.11
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.223
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.160
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.54
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.33
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.16
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.45
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.11
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.117
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.40
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.66
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.47
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.77
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.76
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.134
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.34
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.151
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.136
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.62
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.225
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.11
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.114
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.63
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.20
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.136
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.107
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.162
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.155
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.109
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.11
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.31
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.77
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.180
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.61
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.73
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.180
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.11
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.112
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.112
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.163
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.142
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.66
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.179
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.76
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.91
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.221
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.45
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.40
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.76
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.62
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.20
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.2.6
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 No Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.109
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.18
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.194
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.8
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.182
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.40
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.33
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.147
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.168
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.45
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.114
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.180
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.225
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.204
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.225
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.29
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.159
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.117
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.114
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.140
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.67
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.134
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.66
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.160
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.29
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.107
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.31
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.159
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.29
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.218
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.76
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.8
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.218
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.63
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.31
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.63
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.96
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.139
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.41
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.204
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.91
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.33
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.169
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.66
No Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 No Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.45
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.140
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.197
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.8
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.160
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.45
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.63
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.36
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.20
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.130
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.12
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.68
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.54
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.11
No Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.2.11
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.36
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.210
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.50
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.148
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.213
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.62
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.109
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.226
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.215
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.10
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.162
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.159
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.77
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.96
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.54
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.84
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.109
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.91
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.210
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.29
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.3.158
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.136
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.2.78
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.107
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.223
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.1.42
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.206
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.38.1.134
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 6.39.0.218
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.1.223
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.226
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 7.0.0.184
Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes

Google verlinkt fasch und sperrt Seiten

Log-Analyse und Auswertung: Google verlinkt fasch und sperrt Seiten