Ernsthafte Probleme bei der Bekämpfung von Virtumonde.prx und TR/Agent

Copperhead · 29.01.2009, 08:59

Hier mal als Portionen:

Anhang 3096

Anhang 3097

Anhang 3098

Anhang 3099

Copperhead · 29.01.2009, 09:00

Anhang 3100

Anhang 3101

Anhang 3102

Anhang 3103

Copperhead · 29.01.2009, 09:01

Anhang 3104

so das wars.

Chris4You · 29.01.2009, 11:43

Hi,

Meldungen über Funde hat es nicht ausgespuckt, oder?

Chris

Copperhead · 29.01.2009, 13:04

Nein hat er nicht. Aber weil AntiVir dauernd diesen TR/Agent meldet mach ich mir doch Sorgen, das sich irgendwo auf den Festplatten noch was versteckt. Oder kann es sein das AntiVir da was falsches meldet?? Es sind halt immer wieder andere Dateien, tw. auch nicht auf Festplatte C:\>

MfG,

Copperhead

Chris4You · 29.01.2009, 14:39

Hi,

poste mal genau den Fundort, den Dateiname...

Mal schauen ob wir was über RSIT finden:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Dann noch:
Datfind (Neusten Dateien finden)
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

chris

Copperhead · 29.01.2009, 16:44

Servus,

hier die log.txt von RSIT:

Zitat:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Alexander Schmidt at 2009-01-29 16:37:33
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 9 GB (43%) free of 20 GB
Total RAM: 767 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:50, on 29.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alexander Schmidt.ALEXANDER\Desktop\RSIT.exe
C:\Programme\trend micro\Alexander Schmidt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{470ED760-8729-4807-AB7B-D3CA68B83475}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programme\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

--
End of file - 7961 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-09-01 266497]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-05-03 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*

isabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*

isabled:@xpsp2res.dll,-22019"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Strangelite\Starship Troopers\STGame.exe"="C:\Programme\Strangelite\Starship Troopers\STGame.exe:*

isabled:Starship Troopers"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msncall.exe"="C:\Programme\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 2 months======

2009-01-29 16:37:34 ----D---- C:\Programme\trend micro
2009-01-29 16:37:33 ----D---- C:\rsit
2009-01-29 10:00:27 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-01-29 09:58:45 ----A---- C:\WINDOWS\system32\MRT.exe
2009-01-29 08:34:44 ----D---- C:\Programme\PrevxCSI
2009-01-29 08:34:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-01-29 02:57:56 ----SHD---- C:\RECYCLER
2009-01-27 20:10:21 ----A---- C:\ComboFix.txt
2009-01-27 19:31:16 ----A---- C:\WINDOWS\zip.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\VFIND.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\SWSC.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\SWREG.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\sed.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\NIRCMD.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\grep.exe
2009-01-27 19:31:16 ----A---- C:\WINDOWS\fdsv.exe
2009-01-27 19:30:44 ----D---- C:\WINDOWS\ERDNT
2009-01-27 19:30:44 ----D---- C:\Qoobox
2009-01-27 19:01:50 ----D---- C:\Avenger
2009-01-27 19:01:50 ----A---- C:\avenger.txt
2009-01-25 22:25:25 ----D---- C:\VundoFix Backups
2009-01-25 22:25:25 ----A---- C:\VundoFix.txt
2009-01-25 19:20:15 ----D---- C:\Dokumente und Einstellungen\Alexander Schmidt.ALEXANDER\Anwendungsdaten\Malwarebytes
2009-01-25 19:20:08 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-01-25 19:20:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-25 15:10:27 ----SH---- C:\WINDOWS\system32\rimuwuka.exe
2009-01-23 16:25:31 ----D---- C:\Programme\CCleaner
2009-01-21 21:22:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-21 20:56:31 ----D---- C:\Programme\sisagp
2009-01-16 15:29:17 ----SH---- C:\WINDOWS\system32\gakilime.dll
2008-12-27 18:35:23 ----A---- C:\WINDOWS\system32\hidserv.dll
2008-12-19 20:48:16 ----D---- C:\Programme\VideoLAN
2008-12-18 03:01:12 ----HDC---- C:\WINDOWS\$NtUninstallKB960714$
2008-12-16 02:27:49 ----D---- C:\Dokumente und Einstellungen\Alexander Schmidt.ALEXANDER\Anwendungsdaten\WinRAR
2008-12-16 02:27:28 ----D---- C:\Programme\WinRAR
2008-12-11 23:05:37 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2008-12-11 23:05:20 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2008-12-11 23:03:51 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2008-12-11 23:03:46 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2008-12-11 23:03:33 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$

======List of files/folders modified in the last 2 months======

2009-01-29 16:37:48 ----D---- C:\WINDOWS\Prefetch
2009-01-29 16:37:34 ----RD---- C:\Programme
2009-01-29 16:33:56 ----D---- C:\WINDOWS\Internet Logs
2009-01-29 16:32:51 ----D---- C:\Programme\Mozilla Firefox
2009-01-29 16:30:59 ----D---- C:\WINDOWS\Temp
2009-01-29 16:30:48 ----D---- C:\WINDOWS
2009-01-29 10:00:47 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-01-29 10:00:34 ----HD---- C:\WINDOWS\inf
2009-01-29 10:00:30 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-01-29 10:00:30 ----D---- C:\WINDOWS\system32\drivers
2009-01-29 10:00:29 ----D---- C:\WINDOWS\system32
2009-01-29 10:00:00 ----HD---- C:\WINDOWS\$hf_mig$
2009-01-29 09:59:58 ----D---- C:\WINDOWS\system32\CatRoot2
2009-01-29 09:58:47 ----D---- C:\WINDOWS\Debug
2009-01-29 08:47:20 ----D---- C:\Programme\Mozilla Thunderbird
2009-01-29 05:07:00 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-01-29 03:53:07 ----SHD---- C:\WINDOWS\Installer
2009-01-28 00:30:49 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-01-28 00:30:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-27 20:07:01 ----A---- C:\WINDOWS\system.ini
2009-01-27 19:36:07 ----D---- C:\WINDOWS\system32\config
2009-01-27 19:34:44 ----D---- C:\WINDOWS\AppPatch
2009-01-27 19:34:44 ----D---- C:\Programme\Gemeinsame Dateien
2009-01-27 19:31:14 ----SHD---- C:\System Volume Information
2009-01-27 19:31:14 ----D---- C:\WINDOWS\system32\Restore
2009-01-23 17:21:13 ----AC---- C:\WINDOWS\WININIT.INI
2009-01-21 20:56:10 ----D---- C:\Programme\Opera
2009-01-21 19:53:33 ----D---- C:\WINDOWS\Minidump
2008-12-19 21:27:43 ----D---- C:\Dokumente und Einstellungen\Alexander Schmidt.ALEXANDER\Anwendungsdaten\uTorrent
2008-12-16 22:46:16 ----D---- C:\Temp
2008-12-12 18:01:03 ----A---- C:\WINDOWS\system32\mshtml.dll
2008-12-02 22:51:52 ----HD---- C:\Programme\InstallShield Installation Information
2008-12-02 22:34:06 ----D---- C:\WINDOWS\Help

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-11-27 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2003-08-07 404608]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2003-08-05 460864]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2006-05-03 1540608]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 GMFilter Filter;GMFilter Filter; C:\WINDOWS\System32\Drivers\GMFilter.sys [2005-06-10 25088]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\System32\DRIVERS\Mtlmnt5.sys [2004-08-03 126686]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 RTL8023;Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver; C:\WINDOWS\system32\DRIVERS\Rtlnic51.sys [2003-08-13 65280]
R3 Slntamr;Smart Link 56K Modem Driver; C:\WINDOWS\System32\DRIVERS\slntamr.sys [2004-08-03 404990]
R3 SlWdmSup;SlWdmSup; C:\WINDOWS\System32\DRIVERS\SlWdmSup.sys [2004-08-03 13240]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 vaxscsi;vaxscsi; C:\WINDOWS\System32\Drivers\vaxscsi.sys [2006-10-27 223128]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 awhz0whe;awhz0whe; C:\WINDOWS\system32\drivers\awhz0whe.sys []
S3 BRIDGE;MAC-Brücke; C:\WINDOWS\system32\DRIVERS\bridge.sys [2008-04-13 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\system32\DRIVERS\bridge.sys [2008-04-13 71552]
S3 Mtlstrm;Mtlstrm; C:\WINDOWS\System32\DRIVERS\Mtlstrm.sys [2004-08-03 1309184]
S3 NtMtlFax;NtMtlFax; C:\WINDOWS\System32\DRIVERS\NtMtlFax.sys [2004-08-03 180360]
S3 pnicml;pnicml; \??\C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pnicml.sys []
S3 PnkBstrK;PnkBstrK; \??\C:\WINDOWS\system32\drivers\PnkBstrK.sys []
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 sfcure01;StarForce Cure Driver (version 1.x); C:\WINDOWS\System32\drivers\sfcure01.sys [2005-10-01 3072]
S3 SlNtHal;SlNtHal; C:\WINDOWS\System32\DRIVERS\Slnthal.sys [2004-08-03 95424]
S3 SpyFighter;SpyFighter Guard Device; \??\C:\Programme\SPYWAREfighter\spyfighter.sys []
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-03-01 28352]
S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS []
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Scheduler; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-25 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-25 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-05-03 413696]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 CSIScanner;CSIScanner; C:\Programme\PrevxCSI\prevxcsi.exe [2009-01-29 927288]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2007-09-04 66872]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-01-29 202352]
R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2008-04-14 73796]
R2 StarWindService;StarWind iSCSI Service; C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe [2005-04-01 217600]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-05-03 520192]
S2 mi-raysat_3dsmax9_32;mental ray 3.5 Satellite (32-bit); C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2007-07-23 654848]
S3 SPYWAREfighterRP;SPYWAREfighterRP; C:\Programme\SPYWAREfighter\spfprc.exe []
S3 VundoFixSvc;VundoFix Service; C:\WINDOWS\system32\VundoFixSVC.exe [2008-01-31 24576]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------

Copperhead · 29.01.2009, 16:56

Und Hier die info.txt:

Zitat:

info.txt logfile of random's system information tool 1.05 2009-01-29 16:37:55

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
10Finger- Schreibtrainer-->C:\WINDOWS\AKDeInstall.exe "/C:\Programme\10Finger- Schreibtrainer"
3dsmax ancillary install-->MsiExec.exe /I{7C8B5E63-821A-4DFB-BDFA-19854D88EC5C}
7-Zip 4.50 beta-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe BridgeTalk Plugin CS3-->MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Creative Suite 3 Design Premium hinzufügen oder entfernen-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\061850775b1c6d22bf2a145678e05e0\Setup.exe
Adobe Creative Suite 3 Design Premium-->MsiExec.exe /I{4393DE35-AD67-4F37-95E4-30F06EA0FDB2}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q
Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Illustrator CS3-->MsiExec.exe /I{C8D7A672-F697-4572-AC62-C856053A8DBC}
Adobe InDesign CS3 Icon Handler-->MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}
Adobe InDesign CS3-->MsiExec.exe /I{411E0CC3-587A-468C-B461-95FAFD05E4DE}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->MsiExec.exe /I{D3C605D8-3A5E-4BAD-965D-2C61441BF2AC}
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Setup-->MsiExec.exe /I{5518E08A-2053-4A3E-85B2-F912D4666C9F}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe SING CS3-->MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WAS CS3-->MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}
America's Army-->MsiExec.exe /I{656D5B05-0409-41EE-BBEE-D9C4D6388972}
America's Army-->MsiExec.exe /I{D873FA4B-C374-4F8A-8D9A-130DB56FAB16}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class

ISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System (Beta)-->MsiExec.exe /X{30120000-0020-0407-0000-0000000FF1CE}
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
GM-4200 Gamer Mouse Optical-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{235C3A50-559F-4CAA-BAC3-4CC9ABF51976}\setup.exe" -l0x9 -removeonly
Google Earth-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7 -removeonly
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\*** ***.***\Desktop\hijackthis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.17)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
Opera 9.0-->MsiExec.exe /X{3303E88E-C09C-44FD-9D15-3A0265DB938A}
Opera 9.61-->MsiExec.exe /X{F8CCEF4F-6EEF-4B81-B70D-821E72451D93}
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
Prevx CSI-->"C:\Programme\PrevxCSI\prevxcsi.exe" /prop UNINSTALL=Y
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
SiSAGP driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DC226AC9-0314-496C-BE6A-B6A132628466}\setup.exe" -l0x7
TuneUp Utilities 2007-->MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Uplink-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Uplink\Uninst.isu
VobSub v2.23 (Remove Only)-->"C:\Programme\Gabest\VobSub\uninstall.exe"
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: ZoneAlarm Firewall

System event log

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 80783
Source Name: Service Control Manager
Time Written: 20081120194224.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 59
Message: Generate Activation Context ist für C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_39049d00\MFC80U.DLL fehlgeschlagen.
Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.
.

Record Number: 80782
Source Name: SideBySide
Time Written: 20081120194220.000000+060
Event Type: Fehler
User:

Computer Name: ***
Event Code: 59
Message: Resolve Partial Assembly ist für Microsoft.VC80.MFCLOC fehlgeschlagen.
Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert.
.

Record Number: 80781
Source Name: SideBySide
Time Written: 20081120194220.000000+060
Event Type: Fehler
User:

Computer Name: ***
Event Code: 32
Message: Abhängige Assemblierung "Microsoft.VC80.MFCLOC" konnte nicht gefunden werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer installiert.

Record Number: 80780
Source Name: SideBySide
Time Written: 20081120194220.000000+060
Event Type: Fehler
User:

Computer Name: ***
Event Code: 59
Message: Generate Activation Context ist für C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_39049d00\MFC80U.DLL fehlgeschlagen.
Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.
.

Record Number: 80779
Source Name: SideBySide
Time Written: 20081120194220.000000+060
Event Type: Fehler
User:

Application event log

Computer Name: ***
Event Code: 11708
Message: Product: America's Army -- Installation operation failed.

Record Number: 5
Source Name: MsiInstaller
Time Written: 20080403011725.000000+120
Event Type: Informationen
User: ALEXANDER\Alexander Schmidt

Computer Name: ***
Event Code: 11708
Message: Product: America's Army -- Installation operation failed.

Record Number: 4
Source Name: MsiInstaller
Time Written: 20080403004623.000000+120
Event Type: Informationen
User: ALEXANDER\Alexander Schmidt

Computer Name: ***
Event Code: 1
Message:
Record Number: 3
Source Name: Bonjour Service
Time Written: 20080403003009.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 105
Message: The service was started.

Record Number: 2
Source Name: ATI Smart
Time Written: 20080403003003.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 4096
Message: The AntiVir service has been started successfully!

Record Number: 1
Source Name: H+BEDV AntiVir
Time Written: 20080403003001.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Gemeinsame Dateien\Autodesk Shared;;C:\Programme\ZipGenius 6;C:\Programme\IsoBuster;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------

Copperhead · 29.01.2009, 17:04

Und noch die dirdat.txt:

Zitat:

Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 78E7-2056

Verzeichnis von c:\

29.01.2009 16:38 0 dirdat.txt
29.01.2009 16:30 1.207.959.552 pagefile.sys
27.01.2009 20:10 11.676 ComboFix.txt
27.01.2009 19:05 4.220 avenger.txt
25.01.2009 23:26 210 VundoFix.txt
15.01.2009 15:27 3.532 drmHeader.bin
05.11.2008 02:32 558 LevelParTimes.csv
03.11.2008 19:20 1.722 ingameanimmaker.log
03.11.2008 19:20 13.896 editor.log
24.05.2008 18:53 251.712 ntldr
01.02.2008 17:07 805 rollback.ini
04.09.2007 16:55 512 ScanSectorLog.dat
22.02.2007 17:40 268 sqmdata00.sqm
22.02.2007 17:40 244 sqmnoopt00.sqm
18.01.2007 02:39 268 sqmdata19.sqm
18.01.2007 02:39 244 sqmnoopt19.sqm
18.01.2007 00:39 268 sqmdata18.sqm
18.01.2007 00:39 244 sqmnoopt18.sqm
18.01.2007 00:28 268 sqmdata17.sqm
18.01.2007 00:28 244 sqmnoopt17.sqm
18.01.2007 00:22 268 sqmdata16.sqm
18.01.2007 00:22 244 sqmnoopt16.sqm
13.01.2007 23:01 268 sqmdata15.sqm
13.01.2007 23:01 244 sqmnoopt15.sqm
10.01.2007 23:07 268 sqmdata14.sqm
10.01.2007 23:07 244 sqmnoopt14.sqm
10.01.2007 20:14 268 sqmdata13.sqm
10.01.2007 20:14 244 sqmnoopt13.sqm
10.01.2007 16:39 211 boot.ini
10.01.2007 11:46 268 sqmdata12.sqm
10.01.2007 11:46 244 sqmnoopt12.sqm
07.01.2007 18:11 268 sqmdata11.sqm
07.01.2007 18:11 244 sqmnoopt11.sqm
05.01.2007 11:15 268 sqmdata10.sqm
05.01.2007 11:15 244 sqmnoopt10.sqm
05.01.2007 01:37 268 sqmdata09.sqm
05.01.2007 01:37 244 sqmnoopt09.sqm
05.01.2007 00:18 268 sqmdata08.sqm
05.01.2007 00:18 244 sqmnoopt08.sqm
04.01.2007 21:59 268 sqmdata07.sqm
04.01.2007 21:59 244 sqmnoopt07.sqm
03.01.2007 02:51 268 sqmdata06.sqm
03.01.2007 02:51 244 sqmnoopt06.sqm
02.01.2007 15:41 268 sqmdata05.sqm
02.01.2007 15:41 244 sqmnoopt05.sqm
31.12.2006 15:39 268 sqmdata04.sqm
31.12.2006 15:39 244 sqmnoopt04.sqm
31.12.2006 01:48 268 sqmdata03.sqm
31.12.2006 01:48 244 sqmnoopt03.sqm
30.12.2006 19:00 268 sqmdata02.sqm
30.12.2006 19:00 244 sqmnoopt02.sqm
30.12.2006 18:24 268 sqmdata01.sqm
30.12.2006 18:24 244 sqmnoopt01.sqm
27.09.2006 11:57 185 temp.log
27.09.2006 11:56 658 pnpID.dat
27.09.2006 11:56 39 CTJINI.INI
27.09.2006 11:46 47.564 NTDETECT.COM
27.09.2006 11:07 0 CONFIG.SYS
27.09.2006 11:07 0 AUTOEXEC.BAT
27.09.2006 11:07 0 MSDOS.SYS
27.09.2006 11:07 0 IO.SYS
29.08.2002 13:00 4.952 bootfont.bin
62 Datei(en) 1.208.312.244 Bytes
0 Verzeichnis(se), 9.095.651.328 Bytes frei
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 78E7-2056

Zitat:

Verzeichnis von C:\WINDOWS\system32

29.01.2009 16:31 358.829 vsconfig.xml
29.01.2009 05:07 202.352 PnkBstrB.exe
25.01.2009 22:09 6.456 jutafake
25.01.2009 15:10 2.108 rimuwuka.exe
25.01.2009 15:06 2.206 wpa.dbl
16.01.2009 15:29 2.154 gakilime.dll
09.01.2009 17:35 20.853.704 MRT.exe
12.12.2008 18:01 3.088.896 mshtml.dll
11.12.2008 23:05 587.488 TZLog.log
22.11.2008 01:04 4.212 zllictbl.dat
28.10.2008 23:36 823.296 divx_xx0c.dll
28.10.2008 23:36 823.296 divx_xx07.dll
28.10.2008 23:35 815.104 divx_xx0a.dll
28.10.2008 23:35 802.816 divx_xx11.dll
28.10.2008 23:35 684.032 DivX.dll
28.10.2008 23:35 729.088 divxdec.ax
26.10.2008 04:31 397.560 perfh009.dat
26.10.2008 04:31 59.780 perfc009.dat
26.10.2008 04:31 72.490 perfc007.dat
26.10.2008 04:31 411.266 perfh007.dat
26.10.2008 04:31 952.874 PerfStringBackup.INI
23.10.2008 13:36 286.720 gdi32.dll
23.10.2008 11:06 62.976 tzchange.exe
16.10.2008 14:13 202.776 wuweb.dll
16.10.2008 14:13 1.809.944 wuaueng.dll
16.10.2008 14:12 323.608 wucltui.dll
16.10.2008 14:12 561.688 wuapi.dll
16.10.2008 14:12 213.528 wuaucpl.cpl
16.10.2008 14:09 43.544 wups2.dll
16.10.2008 14:09 92.696 cdm.dll
16.10.2008 14:09 51.224 wuauclt.exe
16.10.2008 14:08 34.328 wups.dll
16.10.2008 14:08 31.768 wucltui.dll.mui
16.10.2008 14:08 27.672 wuapi.dll.mui
16.10.2008 14:08 27.672 wuaucpl.cpl.mui
16.10.2008 14:07 18.968 wuaueng.dll.mui
16.10.2008 10:35 228.776 FNTCACHE.DAT
16.10.2008 02:00 620.544 urlmon.dll
16.10.2008 02:00 671.744 wininet.dll
16.10.2008 02:00 1.499.136 shdocvw.dll
15.10.2008 17:35 337.408 netapi32.dll
03.10.2008 11:03 247.326 strmdll.dll

Zitat:

Verzeichnis von C:\WINDOWS

29.01.2009 16:32 134.957 WindowsUpdate.log
29.01.2009 16:30 0 0.log
29.01.2009 16:30 2.048 bootstat.dat
29.01.2009 10:00 32.620 SchedLgU.Txt
29.01.2009 10:00 980 iis6.log
29.01.2009 10:00 1.247 ntdtcsetup.log
29.01.2009 10:00 2.053 comsetup.log
29.01.2009 10:00 1.374 imsins.log
29.01.2009 10:00 342 ocmsn.log
29.01.2009 10:00 2.359 tsoc.log
29.01.2009 10:00 6.932 KB958687.log
29.01.2009 10:00 2.956 ocgen.log
29.01.2009 10:00 309 msgsocm.log
29.01.2009 10:00 6.183 FaxSetup.log
29.01.2009 10:00 9.693 setupapi.log
29.01.2009 03:15 240 setupact.log
29.01.2009 03:13 0 setuperr.log
27.01.2009 20:07 227 system.ini
23.01.2009 17:21 327 WININIT.INI
03.11.2008 15:10 255 PowerReg.dat
30.10.2008 03:43 629 win.ini

Chris4You · 29.01.2009, 17:06

Hi,

Schluß mit lustig:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\awhz0whe.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls das File erkannt wird, unten beim Avenger aufnehmen (unter Files to delete)...

Also:
2009-01-25 15:10:27 ----SH---- C:\WINDOWS\system32\rimuwuka.exe
->http://www.prevx.com/filenames/X853914847761751808-0/RIMUWUKA2EDLL.html

2009-01-16 15:29:17 ----SH---- C:\WINDOWS\system32\gakilime.dll
http://www.prevx.com/filenames/X1758877430890115655-0/GAKILIME2EDLL.html

Wo die sich starten kann ich nicht sehen, aber ich denke wir killen das einfach mal (außerdem legt Avenger ein Backup an).
Auch den seltsamen Treiber aus einem Tempverzeichnis killen wir jetzt...

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\rimuwuka.exe
C:\WINDOWS\system32\gakilime.dll
C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pnicml.sys

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris

Copperhead · 29.01.2009, 17:07

Zitat:

Verzeichnis von C:\DOKUME~1\ALEXAN~1.ALE\LOKALE~1\Temp

29.01.2009 16:35 686 jusched.log
29.01.2009 16:33 0 etilqs_FRXiFqqUyHYKVgumnMK8
29.01.2009 04:07 0 8n771.tmp
29.01.2009 03:45 416 java_install_reg.log
4 Datei(en) 1.102 Bytes
0 Verzeichnis(se), 9.095.540.736 Bytes frei

So welche Logs fehlen jetzt noch?

MfG,

Copperhead

Copperhead · 29.01.2009, 17:13

So hier das Ergebnis von VirusTotal:

Zitat:

Datei awhz0whe.sys empfangen 2009.01.29 17:10:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.01.29 -
AhnLab-V3 5.0.0.2 2009.01.29 -
AntiVir 7.9.0.60 2009.01.29 -
Authentium 5.1.0.4 2009.01.28 -
Avast 4.8.1281.0 2009.01.28 -
AVG 8.0.0.229 2009.01.29 -
BitDefender 7.2 2009.01.29 -
CAT-QuickHeal 10.00 2009.01.29 -
ClamAV 0.94.1 2009.01.29 -
Comodo 952 2009.01.29 -
DrWeb 4.44.0.09170 2009.01.29 -
eSafe 7.0.17.0 2009.01.29 Win32.Rootkit
eTrust-Vet 31.6.6334 2009.01.29 -
F-Prot 4.4.4.56 2009.01.28 -
F-Secure 8.0.14470.0 2009.01.29 -
Fortinet 3.117.0.0 2009.01.29 -
GData 19 2009.01.29 -
Ikarus T3.1.1.45.0 2009.01.29 -
K7AntiVirus 7.10.609 2009.01.29 -
Kaspersky 7.0.0.125 2009.01.29 -
McAfee 5509 2009.01.28 -
McAfee+Artemis 5509 2009.01.28 -
Microsoft 1.4205 2009.01.29 -
NOD32 3811 2009.01.29 -
Norman 6.00.02 2009.01.29 -
nProtect 2009.1.8.0 2009.01.29 -
Panda 9.5.1.2 2009.01.29 -
PCTools 4.4.2.0 2009.01.29 -
Prevx1 V2 2009.01.29 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.29 -
Sophos 4.38.0 2009.01.29 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.29 -
TheHacker 6.3.1.5.231 2009.01.29 -
TrendMicro 8.700.0.1004 2009.01.29 -
VBA32 3.12.8.11 2009.01.29 -
ViRobot 2009.1.29.1580 2009.01.29 -
VirusBuster 4.5.11.0 2009.01.28 -
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
SHA512: 48ed3797dcdef3158e1c46cc42246c6580a9096168748bbf45c8139cc0d54859
6ccd4852ee3516ef3f368d5887af8b3fc71f902600fc8ef67e518b7a0d044aa7
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )

die von dir für den Avenger angegebenen Dateien hab ich gestern doch schonmal mittels Avenger beseitigt??!!

Copperhead · 29.01.2009, 17:22

So hier der Avenger Log:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\rimuwuka.exe" deleted successfully.
File "C:\WINDOWS\system32\gakilime.dll" deleted successfully.
File "C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pnicml.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Chris4You · 30.01.2009, 07:34

Hi,

bitte lösche auch die
C:\WINDOWS\system32\drivers\awhz0whe.sys
per Avenger...

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Danach noch mal alle Platten scannen lassen (Scanner vorher updaten).
Wenn es wirklich ein Rootkit ist, sollte der ungehindert Zugriff nach entfernen möglich sein...

chris

Copperhead · 03.02.2009, 23:34

Servus Chris,

also ich hab versucht die Dati zu löschen, hier das Avenger Log:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\rimuwuka.exe" deleted successfully.
File "C:\WINDOWS\system32\gakilime.dll" deleted successfully.
File "C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pnicml.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Dann hab ich das angegebene AntiVir Rootkit Tool laufen lassen:

Zitat:

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Dienstag, 3. Februar 2009 - 21:21:12
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 19.53 GB
- Working disk free size : 8.42 GB (43 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
- Scan finished Dienstag, 3. Februar 2009 - 21:21:12
========================================================================================================
Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Dienstag, 3. Februar 2009 - 21:21:16
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 19.53 GB
- Working disk free size : 8.42 GB (43 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------

Als letztes hab ich dann noch AntiVir geupdatet und nen kompletten Systemscan gemacht:

Zitat:

Avira AntiVir Personal
Report file date: Dienstag, 3. Februar 2009 21:22

Scanning for 1312037 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: ***

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 27.11.2008 00:56:24
AVSCAN.DLL : 8.1.4.0 40705 Bytes 01.09.2008 09:56:41
LUKE.DLL : 8.1.4.5 164097 Bytes 01.09.2008 09:56:42
LUKERES.DLL : 8.1.4.0 12033 Bytes 01.09.2008 09:56:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:58:12
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 14:36:30
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 20:19:45
ANTIVIR3.VDF : 7.1.1.222 149504 Bytes 03.02.2009 20:19:46
Engineversion : 8.2.0.71
AEVDF.DLL : 8.1.1.0 106868 Bytes 03.02.2009 20:19:51
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 03.02.2009 20:19:50
AESCN.DLL : 8.1.1.6 127348 Bytes 03.02.2009 20:19:49
AERDL.DLL : 8.1.1.3 438645 Bytes 16.11.2008 23:35:33
AEPACK.DLL : 8.1.3.6 393589 Bytes 03.02.2009 20:19:49
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 16.12.2008 00:53:26
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 03.02.2009 20:19:48
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 00:03:43
AEGEN.DLL : 8.1.1.12 328053 Bytes 03.02.2009 20:19:47
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 21:42:33
AECORE.DLL : 8.1.6.4 176501 Bytes 03.02.2009 20:19:46
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 21:42:32
AVWINLL.DLL : 1.0.0.12 15105 Bytes 01.09.2008 09:56:42
AVPREF.DLL : 8.0.2.0 38657 Bytes 01.09.2008 09:56:41
AVREP.DLL : 8.0.0.2 98344 Bytes 01.09.2008 09:56:42
AVREG.DLL : 8.0.0.1 33537 Bytes 01.09.2008 09:56:41
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.05.2008 14:24:09
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 01.09.2008 09:56:41
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.05.2008 14:24:10
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 01.09.2008 09:56:42
NETNT.DLL : 8.0.0.1 7937 Bytes 20.05.2008 14:24:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 01.09.2008 09:56:38
RCTEXT.DLL : 8.0.52.0 86273 Bytes 01.09.2008 09:56:38

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programme\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, D:, E:, J:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: Dienstag, 3. Februar 2009 21:22

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'mnzylbcv.exe' - '1' Module(s) have been scanned
Scan process 'avirarkd.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'prevxcsi.exe' - '1' Module(s) have been scanned
Scan process 'StarWindService.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrB.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'prevxcsi.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
33 processes with 33 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!
Boot sector 'J:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '48' files ).

Starting the file scan:

Begin scan in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\*** ***\Anwendungsdaten\LimeWire\.NetworkShare\Incomplete\T-4519880-LimeWireWin4.12.6-nopack2.exe
[0] Archive type: NSIS
--> [ProgramFilesDir]/LimeWire/LimeWire20.dll
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\*** ***\Lokale Einstellungen\Temp\xovrwxdx.exe
[0] Archive type: NSIS
--> C:/ATI/SUPPORT/6-11-pre-r300_xp-2k_dd_ccc_wdm_38185/Data1.cab
[1] Archive type: CAB (Microsoft)
--> _D4D9AA1863764CA897F18CBD1B12C4D6
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <SHARING>
Begin scan in 'E:\' <STUDIUM>
E:\AA Installation\AA283FullInstaller.exe
[0] Archive type: RAR SFX (self extracting)
--> AAComp~1.cab
[1] Archive type: CAB (Microsoft)
--> M_AA2_WeaponsCache.usx.fz
[WARNING] No further files can be extracted from this archive. The archive will be closed
Begin scan in 'J:\' <SICHERUNG>

End of the scan: Dienstag, 3. Februar 2009 22:45
Used time: 1:23:32 Hour(s)

The scan has been done completely.

12157 Scanning directories
519712 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
519709 Files not concerned
2481 Archives were scanned
6 Warnings
0 Notes

Außerdem hat meine ZA Firewall einem Prozess prevxcsi.exe den Zugriff auf die IP's 62.146.66.148: DNS und 192.168.0.1: DNS verboten.

Was ist das für nen Prozess??

MfG,

Copperhead

Ernsthafte Probleme bei der Bekämpfung von Virtumonde.prx und TR/Agent

Plagegeister aller Art und deren Bekämpfung: Ernsthafte Probleme bei der Bekämpfung von Virtumonde.prx und TR/Agent