Trojaner TR/crypt.xpack.gen u. win32.dnschanger entfernen entfernen

free1 · 26.01.2009, 20:10

Hallo,

bei mir wurden in letzter Zeit häufiger Google Links auf völlig andere Seiten weitergeleitet und mein Avira Antivir hat kein Update mehr durchgeführt, weil angeblich keine Verbindung zum Server hergestellt werden konnte.
Vor ein paar Tagen wurde dann doch ein update runtergeladen. Beim anschliessenden unvollständigen Scan hat Antivir auf meinem xp Rechner den Trojaner TR/crypt.xpack.gen gefunden. Nach Verschieben in die Quarantäne ist Windows instabil geworden. Liess sich nur noch im abgesicherten Modus hochfahren.

Hab Zonealarm, Antivir und Spybot deinstalliert. Jetzt läuft der PC wieder...

Jetzt habe ich Kasperky Anti-Virus und das neueste windows XP update installiert.

Der Scan mit Kaspersky hat einige Trojaner (z.B. win32.dnschanger) und Viren (z.B. win32.autorun.nuu) eliminiert. Da hängen doch aber noch Reste im System, oder?

Nun würde ich gern wissen wie ich die Probleme engültig beheben kann, ohne dass ich Windows neu installieren muss.

Hier ist mein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:18, on 26.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\123678.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h***://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232987394312
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h***://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Moon Secure Antivirus Core (msav) - Unknown owner - C:\Programme\Moon Secure Antivirus\msavcore.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8051 bytes

undoreal · 26.01.2009, 22:02

Bei deiner Problembeschreibung rate ich dir neuaufzusetzen.

Aber wir können auch gerne versuchen die Wunden zu flicken.

free1 · 26.01.2009, 22:36

ja, bitte hilf mir die Schädlinge von der Platte zu putzen.

Ich hab mal weiter im Forum nach Lösungsansätzen gesucht:

Bei ausgeschalteter Systemwiederherstellung CCleaner verwenden und dann Scannen z.B. mit Conterspy im abgesicherten Modus?
Bringt das was? Was kann ich sonst noch am besten machen?

Danke für die Hilfe!

undoreal · 27.01.2009, 06:13

Das System ist hinterher nicht vertrauenswürdig, das muss dir klar sein!

Also los:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
.
Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- Vista_ TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Panda AntiRootkit

Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.

Starte die PAVARK.exe durch einen Doppelklick.

Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.

Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.

Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.

Bereinige die Funde anschließend!

5) GMER - Rootkit Detection

Lade GMER von hier

entpacke es auf den Dektop

Doppelklicke die gmer.exe

Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern

nach Beendigung des Scan, drücke "Copy"

nun kannst Du das Ergebnis hier posten

Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

6) Überprüfe dein System mit SASW.

7) Mache einen letzten Maleware-Check mit Malewarebytes.

8) Räume mit cCleaner auf. (Punkt 1 und 2)

9) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

10) Systemanalyse:
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.

Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.

Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.

Unter File -> Database Update Start drücken.

Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.

Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

free1 · 31.01.2009, 17:24

Ok, ich habe jetzt alle Punkte Schritt für Schritt durchgeführt und werde mal die Logs posten mit der Bitte, dass die mal jemand checkt.

Vielen Dank für die Hilfe.

Ein paar Probleme sind aufgetreten:

- beim Starten von Combofix hiess es, dass das Programm abgelaufen ist und nur mit eingeschränkter Funktionalität gestartet werden kann?? Habe dann die Systemzeit ein paar Tage zurück gestellt - dann lief Combofix...

- Panda AntiRootkit hat beim scannen zu vielen Warnmeldungen durch Kaspersky geführt. Ich habe Kaspersky beendet und dann ist Panda abgestürzt.
Nach dem 2. Scananlauf hiess es dann:
Items scanned 6269

Rootkits detected 0
etc 0

- Gmer hat nur die Partition gecheckt, auf der Windows installiert ist

- beim Malwarebytes Scan hat sich das System aufgehängt (Zwischenstand war 0 Rootkits gefunden). Nach Neustart lief der 2. Scan dann durch und hat nix gefunden.
Ich poste als erstes ein Malwarebyteslog von einem Scan, den ich vor dem Posten meines Trojanerproblems hier im Forum gemacht hatte.

---
26.01.2009 13:56:42
mbam-log-2009-01-26 (13-56-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 139475
Laufzeit: 26 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32391290-5bc1-459a-8137-d38c71c6c478}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.114;85.255.112.14 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{32391290-5bc1-459a-8137-d38c71c6c478}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.114;85.255.112.14 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{32391290-5bc1-459a-8137-d38c71c6c478}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.114;85.255.112.14 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\HDTV Player (Rogue.HDTVPlayer) -> Quarantined and deleted successfully.
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
D:\Downloads\HDTVPlayer.exe (Rogue.HDTVPlayer) -> Quarantined and deleted successfully.
C:\WINDOWS\HDTV Player\uninstall.exe (Rogue.HDTVPlayer) -> Quarantined and deleted successfully.
C:\autorun.inf (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

---

ComboFix 09-01-21.04 - *** 2009-01-22 1:20:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2943.2418 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
FW: ActiveArmor Firewall *disabled*
FW: Kaspersky Anti-Virus *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\resycled
c:\resycled\boot.com
D:\resycled
d:\resycled\boot.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-22 bis 2009-01-22 ))))))))))))))))))))))))))))))
.

2009-01-31 00:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-30 23:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\system32\de
2009-01-30 23:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\system32\bits
2009-01-30 23:38 . 2009-01-31 00:39 <DIR> d-------- c:\windows\l2schemas
2009-01-30 23:23 . 2008-04-14 03:20 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
2009-01-26 17:44 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-26 17:44 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-26 17:44 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-26 17:42 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty
2009-01-26 17:30 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-26 17:25 . 2009-01-26 17:25 96,976 --a------ c:\windows\system32\drivers\klin.dat
2009-01-26 17:25 . 2009-01-26 17:25 87,855 --a------ c:\windows\system32\drivers\klick.dat
2009-01-26 17:24 . 2009-01-26 17:24 <DIR> d-------- c:\programme\Kaspersky Lab
2009-01-26 17:24 . 2009-01-22 01:24 4,652,064 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-26 17:24 . 2009-01-22 01:24 516,128 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-01-26 17:24 . 2009-01-22 01:24 38,472 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-26 17:24 . 2009-01-22 01:24 3,892 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-01-26 17:23 . 2009-01-26 17:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus 2009
2009-01-26 17:20 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-26 17:20 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-26 17:20 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-26 17:20 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-26 17:20 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-26 17:20 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-26 17:19 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-01-26 17:19 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-01-26 02:18 . 2009-01-26 02:18 <DIR> d-------- c:\programme\CCleaner
2009-01-26 02:16 . 2009-01-26 02:16 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-26 02:16 . 2009-01-26 02:16 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-01-26 02:16 . 2009-01-26 02:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-26 02:16 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-26 02:16 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-26 01:26 . 2009-01-26 01:26 <DIR> d-------- c:\windows\BDOSCAN8
2009-01-25 22:29 . 2004-08-04 13:00 16,617 --a------ c:\windows\system32\authserv.mib
2009-01-25 22:29 . 2004-08-04 13:00 15,597 --a------ c:\windows\system32\accserv.mib
2009-01-25 22:29 . 2004-08-04 13:00 4,597 --a------ c:\windows\system32\dhcp.mib
2009-01-21 22:25 . 2009-01-21 22:25 <DIR> dr------- c:\dokumente und einstellungen\Administrator.METATRON.000\Eigene Dateien
2008-12-27 12:23 . 2008-12-27 12:22 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 23:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-25 21:14 --------- d-----w c:\programme\Preispiraten
2009-01-25 21:12 --------- d-----w c:\programme\Spybot
2009-01-25 21:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-21 20:11 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent
2008-12-27 11:22 --------- d-----w c:\programme\Java
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"DeviceDiscovery"="c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 40960]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-26 172032]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"RemoteControl8"="c:\programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\PowerDVD8\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2008-10-20 91432]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-11-11 206088]
"nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-12-10 49254]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-07-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Mozilla\\Firefox\\firefox.exe"=
"c:\\Programme\\ScanSoft\\OmniPageSE\\EregGer\\NAVBrowser.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo1.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\PowerDVD8\\PowerDVD8\\PowerDVD8.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
R4 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\PowerDVD8\PowerDVD8\000.fcl [2008-05-15 11:07:00 61424]
S4 msav;Moon Secure Antivirus Core;c:\programme\Moon Secure Antivirus\msavcore.exe --> c:\programme\Moon Secure Antivirus\msavcore.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76729318-ad26-11dc-b170-00138fd9bbe7}]
\Shell\AutoRun\command - System\Security\DriveGuard.exe -run
\Shell\Explore\Command - System\Security\DriveGuard.exe -run
\Shell\Open\Command - System\Security\DriveGuard.exe -run
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten\\preispiraten.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***://www.gmer.net
Rootkit scan 2009-01-22 01:25:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\PowerDVD8\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\progra~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\snmp.exe
c:\progra~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
c:\progra~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-22 1:31:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-22 00:31:07

Vor Suchlauf: 13 Verzeichnis(se), 72.453.906.432 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 72,462,782,464 Bytes frei

Current=2 Default=2 Failed=1 LastKnownGood=5 Sets=1,2,3,4,5
170 --- E O F --- 2009-01-30 23:42:50

---

01/31/09 13:41:09 [Info]: BlackLight Engine 2.2.1092 initialized
01/31/09 13:41:09 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/31/09 13:41:09 [Note]: 7019 4
01/31/09 13:41:09 [Note]: 7005 0
01/31/09 13:41:14 [Note]: 7006 0
01/31/09 13:41:14 [Note]: 7011 796
01/31/09 13:41:14 [Note]: 7035 0
01/31/09 13:41:14 [Note]: 7026 0
01/31/09 13:41:14 [Note]: 7026 0
01/31/09 13:41:16 [Note]: FSRAW library version 1.7.1024
01/31/09 13:46:36 [Note]: 7007 0

---

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-31 14:03:24
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB6C360F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB6C3615A]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.14 ----

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/31/2009 at 02:42 PM

Application Version : 4.25.1012

Core Rules Database Version : 3724
Trace Rules Database Version: 1707

Scan type : Complete Scan
Total Scan Time : 00:31:27

Memory items scanned : 454
Memory threats detected : 0
Registry items scanned : 5316
Registry threats detected : 2
File items scanned : 20538
File threats detected : 0

Trojan.DNSChanger-Codec
HKCR\homeview
HKCR\homeview\CLSID

---

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1695
Windows 5.1.2600 Service Pack 3

31.01.2009 16:24:33
mbam-log-2009-01-31 (16-24-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 136430
Laufzeit: 24 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

free1 · 31.01.2009, 17:26

und hier noch HJT, iclean und AVZ logs:

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:09, on 31.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\HijackThis\123678.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h***://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232987394312
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h***://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: Moon Secure Antivirus Core (msav) - Unknown owner - C:\Programme\Moon Secure Antivirus\msavcore.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7292 bytes

iclean log 31.01.2009 16:29:52

Windows XP SP3, Using advanced Kernel functions

Processes
---------
992 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1040 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1064 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1108 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1120 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1272 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1332 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1372 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1480 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1616 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1712 - avp.exe - avp.exe
1748 - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe - Apache h*** Server
1800 - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcLog.exe - nSvcLog
1828 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 178.13
1916 - C:\WINDOWS\System32\snmp.exe - SNMP-Dienst
1952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2016 - C:\PROGRA~1\NVIDIA\NETWOR~1\bin\nSvcIp.exe - ActiveArmor Firewall IP Service
604 - C:\PROGRA~1\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe - Apache h*** Server
884 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1908 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2156 - C:\WINDOWS\Explorer.EXE - Windows Explorer
2360 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
2376 - C:\Programme\ScanSoft\OmniPageSE\opware32.exe - OCR Aware (32-bit)
2388 - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe - hpotdd01
2396 - C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe - C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
2412 - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
2428 - C:\Programme\PowerDVD8\PowerDVD8\PDVD8Serv.exe - PowerDVD RC Service (Signed)
2444 - C:\Programme\Cyberlink\Shared Files\brs.exe - brs (Signed)
2452 - avp.exe - avp.exe
2484 - C:\WINDOWS\system32\RUNDLL32.EXE - Eine DLL-Datei als Anwendung ausführen
2492 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2500 - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe - Nero Home (Signed)
2524 - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe - AcroTray
2572 - NMIndexingServi - NMIndexingServi
2608 - NMIndexStoreSvr - NMIndexStoreSvr
3780 - C:\Dokumente und Einstellungen\***\Desktop\iclean\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\svchost.exe=6to4
C:\WINDOWS\system32\alg.exe=ALG
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\kaspersky lab\kaspersky anti-virus 2009\avp.exe=AVP
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
c:\progra~1\nvidia\networ~1\apache group\apache2\bin\apache.exe=ForcewareWebInterface
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe=NMIndexingService
c:\progra~1\nvidia\networ~1\bin\nsvcip.exe=nSvcIp
c:\progra~1\nvidia\networ~1\bin\nsvclog.exe=nSvcLog
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\snmp.exe=SNMP
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe"
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: AVP="c:\programme\kaspersky lab\kaspersky anti-virus 2009\avp.exe"
000=HKLM\Run: BDRegion=c:\programme\cyberlink\shared files\brs.exe
000=HKLM\Run: DeviceDiscovery=c:\programme\hewlett-packard\digital imaging\bin\hpotdd01.exe
000=HKLM\Run: HP Software Update=c:\programme\hewlett-packard\hp software update\hpwuschd.exe
000=HKLM\Run: HPDJ Taskbar Utility=c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe
000=HKLM\Run: NeroFilterCheck=c:\programme\gemeinsame dateien\ahead\lib\nerocheck.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\nvmctray.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: Omnipage=c:\programme\scansoft\omnipagese\opware32.exe
000=HKLM\Run: PDVD8LanguageShortcut=c:\programme\powerdvd8\powerdvd8\language\language.exe
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: RemoteControl8=c:\programme\powerdvd8\powerdvd8\pdvd8serv.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SkyTel=c:\windows\skytel.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe=c:\programme\nvidia\networkaccessmanager\apache group\apache2\bin\apache.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=C:\WINDOWS\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx (AcroIEHlprObj Class)
030=BHO: {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}=c:\programme\kaspersky lab\kaspersky anti-virus 2009\ievkbd.dll (IEVkbdBHO Class)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=(null) ()
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Height=(null)
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: acrobat assistant.lnk -> C:\PROGRA~1\Adobe\ACROBA~1.0\Distillr\AcroTray.exe
Common: adobe gamma loader.lnk -> C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
Common: desktop.ini
Personal: desktop.ini
Personal: Secunia PSI.lnk -> C:\PROGRA~1\Secunia\PSI\psi.exe

HOSTS
-----
127.0.0.1 localhost

---

AVZ Zip-Datei:
RapidShare: Easy Filehosting

undoreal · 01.02.2009, 18:07

Deinstalliere uTorrent und alle anderen FileSharing Programme!

Räume danach mit dem CCleaner auf.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\windows\system32\deploytk.dll
c:\windows\system32\drivers\klin.dat
c:\windows\system32\drivers\klick.dat

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:



Folders to delete:
c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Und führe bitte einen Scan mit Kaspersky im abgesicherten Modus duch.
http://www.trojaner-board.de/61465-a...ty-2009-a.html

free1 · 01.02.2009, 19:07

Das sind die Ergebnisse von virustotal:

Code:

ATTFilter

 Datei deploytk.dll empfangen 2009.02.01 18:55:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.93	2009.02.01	-
AhnLab-V3	5.0.0.2	2009.01.31	-
AntiVir	7.9.0.60	2009.01.30	-
Authentium	5.1.0.4	2009.02.01	-
Avast	4.8.1281.0	2009.02.01	-
AVG	8.0.0.229	2009.01.31	-
BitDefender	7.2	2009.02.01	-
CAT-QuickHeal	10.00	2009.01.31	-
ClamAV	0.94.1	2009.02.01	-
Comodo	957	2009.02.01	-
DrWeb	4.44.0.09170	2009.02.01	-
eSafe	7.0.17.0	2009.02.01	-
eTrust-Vet	31.6.6335	2009.01.29	-
F-Prot	4.4.4.56	2009.02.01	-
F-Secure	8.0.14470.0	2009.02.01	-
Fortinet	3.117.0.0	2009.02.01	-
GData	19	2009.02.01	-
Ikarus	T3.1.1.45.0	2009.02.01	-
K7AntiVirus	7.10.612	2009.01.31	-
Kaspersky	7.0.0.125	2009.02.01	-
McAfee	5512	2009.01.31	-
McAfee+Artemis	5512	2009.01.31	-
Microsoft	1.4306	2009.02.01	-
NOD32	3816	2009.02.01	-
Norman	6.00.02	2009.01.31	-
nProtect	2009.1.8.0	2009.01.30	-
Panda	9.5.1.2	2009.02.01	-
PCTools	4.4.2.0	2009.02.01	-
Prevx1	V2	2009.02.01	-
Rising	21.14.61.00	2009.02.01	-
SecureWeb-Gateway	6.7.6	2009.01.30	-
Sophos	4.38.0	2009.02.01	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.02.01	-
TheHacker	6.3.1.5.243	2009.02.01	-
TrendMicro	8.700.0.1004	2009.01.30	-
VBA32	3.12.8.12	2009.02.01	-
ViRobot	2009.1.31.1583	2009.01.31	-
VirusBuster	4.5.11.0	2009.02.01	-
weitere Informationen
File size: 410984 bytes
MD5...: d14bfab125e34b0f1bc152b92fb02d94
SHA1..: b371ac50ae58caa36aa2018d2ba99ac148d25a17
SHA256: 3097267000f1e73dbc2d4f3b30ef7362a59cb34371591801da21aabbea38cccf
SHA512: 8f9051898429b963587ed03f8d212f195c1b071e695177af957a411cce1b8f4e
f6397fc478e51a9c1aa9bb66241894f3ad085714cd398b3e1d3c737052526e44
ssdeep: 6144:ItHJcBYwcG1f2UIEhxgSnjvU9hT7yy8R0cSjvD40:+6zh2EhxgIvU9hT7yy
8R0njs0
PEiD..: -
TrID..: File type identification
DirectShow filter (53.7%)
Windows OCX File (32.9%)
Win32 Executable MS Visual C++ (generic) (10.0%)
Win32 Executable Generic (2.2%)
Generic Win/DOS Executable (0.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x17273
timedatestamp.....: 0x49181bfe (Mon Nov 10 11:33:18 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20d2a 0x21000 6.59 0dc24e7aa8f7843b58e8cce74dff3c48
.rdata 0x22000 0x7915 0x8000 5.10 bc08c77d34593f015270be7a7d275775
.data 0x2a000 0x327c 0x2000 3.25 83668cc1bdff8dbf0af10edea3b71ad7
.rsrc 0x2e000 0x32368 0x33000 4.01 c86e5d40146bb4617b19e42c3830ce49
.reloc 0x61000 0x322a 0x4000 4.90 174e9dc06c939285eb6b8781de3ac1e1

( 14 imports )
> ADVAPI32.dll: RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumKeyExA, RegQueryValueExA, RegQueryValueA
> urlmon.dll: IsValidURL
> WININET.dll: InternetCrackUrlA, InternetCloseHandle, InternetReadFile, InternetTimeToSystemTime, HttpQueryInfoA, InternetErrorDlg, HttpSendRequestA, HttpAddRequestHeadersA, InternetTimeFromSystemTime, HttpOpenRequestA, InternetConnectA, InternetOpenA
> SHLWAPI.dll: PathFileExistsA
> COMCTL32.dll: -
> WINTRUST.dll: WinVerifyTrust
> WSOCK32.dll: -, -, -, -
> CRYPT32.dll: CryptMsgGetParam, CertOpenSystemStoreA, CertGetNameStringW, CertCloseStore, CryptMsgClose, CertFindCertificateInStore, CryptQueryObject, CertGetEnhancedKeyUsage
> SHELL32.dll: ShellExecuteExA, SHGetFileInfoA
> KERNEL32.dll: QueryPerformanceCounter, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, RaiseException, InitializeCriticalSection, DeleteCriticalSection, MultiByteToWideChar, lstrlenA, GetModuleFileNameA, WideCharToMultiByte, lstrlenW, EnterCriticalSection, LeaveCriticalSection, GetLastError, HeapFree, GetProcessHeap, lstrcmpiA, DisableThreadLibraryCalls, InterlockedIncrement, InterlockedDecrement, lstrcpynA, IsDBCSLeadByte, MulDiv, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, HeapAlloc, FlushInstructionCache, GetCurrentProcess, GetCurrentThreadId, GetLongPathNameA, WaitForSingleObject, CloseHandle, GetExitCodeProcess, CreateProcessA, GlobalAlloc, lstrcmpA, GetTickCount, GetProcAddress, LoadLibraryA, LockResource, GlobalUnlock, GlobalLock, GetTempPathA, SetLastError, GlobalFree, GlobalHandle, GetTempFileNameA, lstrcatA, WriteFile, SetEndOfFile, SetFilePointer, CompareFileTime, SystemTimeToFileTime, Sleep, FileTimeToSystemTime, GetFileTime, GetFileSize, CreateFileA, lstrcpyA, SetEvent, CreateThread, CreateEventA, GlobalMemoryStatus, UnhandledExceptionFilter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, ReadFile, GetCPInfo, GetOEMCP, LCMapStringW, LCMapStringA, SetUnhandledExceptionFilter, TlsGetValue, TlsSetValue, TlsFree, TlsAlloc, HeapSize, TerminateProcess, IsBadWritePtr, VirtualFree, HeapCreate, HeapDestroy, ExitProcess, GetCommandLineA, GetSystemTimeAsFileTime, HeapReAlloc, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, RtlUnwind, GetCurrentProcessId, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, GetTimeZoneInformation, CompareStringA, CompareStringW, SetEnvironmentVariableA, FindClose, FileTimeToLocalFileTime, GetDriveTypeA, FindFirstFileA, GetFullPathNameA, GetCurrentDirectoryA, GetDiskFreeSpaceA
> USER32.dll: DestroyWindow, DefWindowProcA, PtInRect, CharNextA, UnregisterClassA, SetWindowPos, SetWindowRgn, OffsetRect, EqualRect, IntersectRect, ReleaseDC, GetDC, SetWindowLongA, GetWindowLongA, GetCursorPos, SetCursor, MapDialogRect, SetWindowContextHelpId, GetDlgCtrlID, LoadBitmapA, PostMessageA, EnableWindow, KillTimer, SetTimer, MessageBoxA, DialogBoxIndirectParamA, RegisterWindowMessageA, UnionRect, GetWindowTextLengthA, GetWindowTextA, SetWindowTextA, CreateAcceleratorTableA, GetActiveWindow, GetClassNameA, RedrawWindow, GetDlgItem, SendMessageA, DestroyAcceleratorTable, GetDesktopWindow, InvalidateRgn, FillRect, SetCapture, ReleaseCapture, DialogBoxParamA, GetSysColor, SendDlgItemMessageA, GetWindow, GetWindowRect, SystemParametersInfoA, EndDialog, LoadStringA, MsgWaitForMultipleObjects, IsWindowUnicode, GetMessageW, GetMessageA, TranslateMessage, DispatchMessageW, DispatchMessageA, PeekMessageA, RegisterClassExA, GetClassInfoExA, LoadCursorA, wsprintfA, CreateWindowExA, GetParent, SetFocus, ShowWindow, GetFocus, IsChild, BeginPaint, GetClientRect, EndPaint, GetKeyState, InvalidateRect, IsWindow, CallWindowProcA, MapWindowPoints
> ole32.dll: CoTaskMemRealloc, CoCreateInstance, OleRegEnumVerbs, OleRegGetUserType, CoTaskMemFree, CoTaskMemAlloc, CreateOleAdviseHolder, OleRegGetMiscStatus, OleLoadFromStream, WriteClassStm, OleSaveToStream, CLSIDFromString, StringFromGUID2, OleLockRunning, CreateStreamOnHGlobal, CoGetClassObject, CLSIDFromProgID, OleInitialize, OleUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> GDI32.dll: CreateCompatibleBitmap, SelectObject, BitBlt, GetObjectA, GetStockObject, CreateSolidBrush, DeleteObject, CreateDCA, CreateFontIndirectA, DPtoLP, ModifyWorldTransform, SetGraphicsMode, StretchBlt, SetBkMode, SetTextColor, GetDeviceCaps, LPtoDP, SaveDC, SetMapMode, SetWindowOrgEx, SetViewportOrgEx, DeleteDC, RestoreDC, CreateCompatibleDC, CreateRectRgnIndirect

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=d14bfab125e34b0f1bc152b92fb02d94' target='_blank'>http://www.threatexpert.com/report.aspx?md5=d14bfab125e34b0f1bc152b92fb02d94</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d14bfab125e34b0f1bc152b92fb02d94' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d14bfab125e34b0f1bc152b92fb02d94</a>

Code:

ATTFilter

 Datei klin.dat empfangen 2009.02.01 19:01:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/37 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.93	2009.02.01	-
AhnLab-V3	5.0.0.2	2009.01.31	-
AntiVir	7.9.0.60	2009.01.30	-
Authentium	5.1.0.4	2009.02.01	-
Avast	4.8.1281.0	2009.02.01	-
AVG	8.0.0.229	2009.01.31	-
BitDefender	7.2	2009.02.01	-
CAT-QuickHeal	10.00	2009.01.31	-
ClamAV	0.94.1	2009.02.01	-
Comodo	957	2009.02.01	-
DrWeb	4.44.0.09170	2009.02.01	-
eSafe	7.0.17.0	2009.02.01	-
eTrust-Vet	31.6.6335	2009.01.29	-
F-Prot	4.4.4.56	2009.02.01	-
F-Secure	8.0.14470.0	2009.02.01	-
Fortinet	3.117.0.0	2009.02.01	-
GData	19	2009.02.01	-
Ikarus	T3.1.1.45.0	2009.02.01	-
K7AntiVirus	7.10.612	2009.01.31	-
Kaspersky	7.0.0.125	2009.02.01	-
McAfee	5512	2009.01.31	-
McAfee+Artemis	5512	2009.01.31	-
Microsoft	1.4306	2009.02.01	-
NOD32	3816	2009.02.01	-
Norman	6.00.02	2009.01.31	-
nProtect	2009.1.8.0	2009.01.30	-
Panda	9.5.1.2	2009.02.01	-
PCTools	4.4.2.0	2009.02.01	-
Rising	21.14.61.00	2009.02.01	-
SecureWeb-Gateway	6.7.6	2009.01.30	-
Sophos	4.38.0	2009.02.01	-
Sunbelt	3.2.1835.2	2009.01.16	-
TheHacker	6.3.1.5.243	2009.02.01	-
TrendMicro	8.700.0.1004	2009.01.30	-
VBA32	3.12.8.12	2009.02.01	-
ViRobot	2009.1.31.1583	2009.01.31	-
VirusBuster	4.5.11.0	2009.02.01	-
weitere Informationen
File size: 96976 bytes
MD5...: b0e7f3d32be65af748703a859ec75fe5
SHA1..: f0d84c72cf540e1ec14caa8c60fddc6acbcf32fa
SHA256: bfa0794e26872fcbb45e138fbbf6d1c970a92073a8004d61067acdd40bc20318
SHA512: 7a4a1ae956bb601bd85cf8c27654c7c2a05d9b5ca04a8902babf26cf70911611
17d3f9730c3a405caa3ca554a9ea61d7459bc90d1916dd135e9b120cf1a74718
ssdeep: 1536:Gc3QdowYioKK52j42CXTfXsDbo/PA0weReX6dcuhZ0g1JOm52ykcOXjwxbG
ubKB:DQdods+XsDUHA0pJW1uL+
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

Code:

ATTFilter

 Datei klick.dat empfangen 2009.02.01 19:04:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.93	2009.02.01	-
AhnLab-V3	5.0.0.2	2009.01.31	-
AntiVir	7.9.0.60	2009.01.30	-
Authentium	5.1.0.4	2009.02.01	-
Avast	4.8.1281.0	2009.02.01	-
AVG	8.0.0.229	2009.01.31	-
BitDefender	7.2	2009.02.01	-
CAT-QuickHeal	10.00	2009.01.31	-
ClamAV	0.94.1	2009.02.01	-
Comodo	957	2009.02.01	-
DrWeb	4.44.0.09170	2009.02.01	-
eSafe	7.0.17.0	2009.02.01	-
eTrust-Vet	31.6.6335	2009.01.29	-
F-Prot	4.4.4.56	2009.02.01	-
F-Secure	8.0.14470.0	2009.02.01	-
Fortinet	3.117.0.0	2009.02.01	-
GData	19	2009.02.01	-
Ikarus	T3.1.1.45.0	2009.02.01	-
K7AntiVirus	7.10.612	2009.01.31	-
Kaspersky	7.0.0.125	2009.02.01	-
McAfee	5512	2009.01.31	-
McAfee+Artemis	5512	2009.01.31	-
Microsoft	1.4306	2009.02.01	-
NOD32	3816	2009.02.01	-
Norman	6.00.02	2009.01.31	-
nProtect	2009.1.8.0	2009.01.30	-
Panda	9.5.1.2	2009.02.01	-
PCTools	4.4.2.0	2009.02.01	-
Prevx1	V2	2009.02.01	-
Rising	21.14.61.00	2009.02.01	-
SecureWeb-Gateway	6.7.6	2009.01.30	-
Sophos	4.38.0	2009.02.01	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.02.01	-
TheHacker	6.3.1.5.243	2009.02.01	-
TrendMicro	8.700.0.1004	2009.01.30	-
VBA32	3.12.8.12	2009.02.01	-
ViRobot	2009.1.31.1583	2009.01.31	-
VirusBuster	4.5.11.0	2009.02.01	-
weitere Informationen
File size: 87855 bytes
MD5...: cc0d8614e447d319d63230b0a09909a8
SHA1..: 704c7ce98215a639b14a090c1ce2e37de169eaa3
SHA256: 3ce9bbc4f8a59efe1556ba57ecff08c56f2a1fccfde8ebb4f6554c9535d70e7c
SHA512: de5dfc7464af003c3a4ff872e4f044e5984c9d9d14549ae85f49447ad5a0c349
7f1a21357687659032c9e41451f74eabd553ccc68499d4bf5c764a9655b7cf3a
ssdeep: 1536:0B5ps7BK06U5JtFG2A8wTA4rv/K15PlHKlexns8VlYdkzKzzJPIyniyRZRt
:0BTiB6Qp5Sa1ZtKkxn3eHL
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

free1 · 01.02.2009, 19:20

und das log von avenger:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  folder "c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent" not found!
Deletion of folder "c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

free1 · 01.02.2009, 23:36

Die Scans mit DrWeb und Kaspersky im abgesicherten Modius sind fertig:

DrWeb log:

data002\32788R22FWJFW\C.bat;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe\data002;Wahrscheinlich BATCH.Virus;;
data002\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe\data002;Wahrscheinlich BATCH.Virus;;
data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe\data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\***\Desktop\scan programme\ComboFix.exe;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme;Archiv enthält infizierte Objekte;Verschoben.;
SmitfraudFix.exe\SmitfraudFix\Process.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme\SmitfraudFix.exe;Tool.Prockill;;
SmitfraudFix.exe\SmitfraudFix\restart.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme\SmitfraudFix.exe;Tool.ShutDown.14;;
SmitfraudFix.exe;C:\Dokumente und Einstellungen\***\Desktop\scan programme;Archiv enthält infizierte Objekte;Verschoben.;
VBAOL11.CHM\html/olobjAddressEntries.htm;C:\Programme\Microsoft Office\OFFICE11\1031\VBAOL11.CHM;Modifikation von VBS.Generic.205;;
VBAOL11.CHM;C:\Programme\Microsoft Office\OFFICE11\1031;Archiv enthält infizierte Objekte;Verschoben.;
iamfamous.dll;C:\Programme\Mozilla\Firefox\components;Wahrscheinlich Trojan.Packed.365;Verschoben.;

Kaspersky Bericht:

Code:

ATTFilter

Vollständige Suche: abgeschlossen 01.02.2009 22:54:49   (Ereignis: 18, Objekte: 311904, Zeit: 00:37:05)	
31.01.2009 22:19:29	Aufgabe wurde abgeschlossen			
31.01.2009 22:19:29	Gelöscht: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Schwingungen.8BF		
31.01.2009 22:19:29	Gefunden: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Schwingungen.8BF		
31.01.2009 22:19:29	Gelöscht: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Kacheleffekt.8BF		
31.01.2009 22:19:24	Gefunden: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Kacheleffekt.8BF		
31.01.2009 21:59:57	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
31.01.2009 21:59:55	Gefunden: h***://www.viruslist.com/de/advisories/31453	c:\programme\microsoft office\office11\powerpnt.exe		
31.01.2009 21:59:55	Gefunden: h***://www.viruslist.com/de/advisories/29320	c:\programme\microsoft office\office11\outlook.exe		
31.01.2009 21:59:54	Gefunden: h***://www.viruslist.com/de/advisories/30150	c:\programme\microsoft office\office11\mspub.exe		
31.01.2009 21:59:53	Gefunden: h***://www.viruslist.com/de/advisories/31454	c:\programme\microsoft office\office11\excel.exe		
31.01.2009 21:58:54	Gefunden: h***://www.viruslist.com/de/advisories/29321	c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL		
31.01.2009 21:57:31	Gefunden: h***://www.viruslist.com/de/advisories/30832	c:\programme\adobe\Reader 8.0\Reader\plug_ins\Annots.api		
31.01.2009 21:57:24	Nicht desinfizierte Objekte: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Schwingungen.8BF	Zurückgestellt	
31.01.2009 21:57:24	Gefunden: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Schwingungen.8BF		
31.01.2009 21:57:24	Nicht desinfizierte Objekte: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Kacheleffekt.8BF	Zurückgestellt	
31.01.2009 21:57:24	Gefunden: Rootkit.Win32.TDSS.eyj	c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Kacheleffekt.8BF		
31.01.2009 21:56:26	Gefunden: h***://www.viruslist.com/de/advisories/23483	c:\programme\adobe\acrobat 5.0\acrobat\acrobat.exe		
31.01.2009 21:39:17	Gefunden: h***://www.viruslist.com/de/advisories/30150	c:\programme\microsoft office\office11\mspub.exe		
31.01.2009 21:39:02	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
31.01.2009 21:39:00	Gefunden: h***://www.viruslist.com/de/advisories/31453	c:\programme\microsoft office\office11\powerpnt.exe		
31.01.2009 21:38:57	Gefunden: h***://www.viruslist.com/de/advisories/29320	c:\programme\microsoft office\office11\outlook.exe		
31.01.2009 21:38:57	Gefunden: h***://www.viruslist.com/de/advisories/31454	c:\programme\microsoft office\office11\excel.exe		
31.01.2009 21:38:57	Gefunden: h***://www.viruslist.com/de/advisories/23483	c:\programme\adobe\acrobat 5.0\acrobat\acrobat.exe		
31.01.2009 21:38:31	Aufgabe wurde gestartet			
Vollständige Suche: abgeschlossen 01.02.2009 22:54:49   (Ereignis: 18, Objekte: 311904, Zeit: 00:37:05)	
01.02.2009 12:27:24	Aufgabe wurde gestartet			
01.02.2009 12:27:49	Gefunden: h***://www.viruslist.com/de/advisories/23483	c:\programme\adobe\acrobat 5.0\acrobat\acrobat.exe		
01.02.2009 12:27:50	Gefunden: h***://www.viruslist.com/de/advisories/31454	c:\programme\microsoft office\office11\excel.exe		
01.02.2009 12:27:50	Gefunden: h***://www.viruslist.com/de/advisories/29320	c:\programme\microsoft office\office11\outlook.exe		
01.02.2009 12:27:53	Gefunden: h***://www.viruslist.com/de/advisories/31453	c:\programme\microsoft office\office11\powerpnt.exe		
01.02.2009 12:27:56	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
01.02.2009 12:28:13	Gefunden: h***://www.viruslist.com/de/advisories/30150	c:\programme\microsoft office\office11\mspub.exe		
01.02.2009 12:45:13	Gefunden: h***://www.viruslist.com/de/advisories/23483	c:\programme\adobe\acrobat 5.0\acrobat\acrobat.exe		
01.02.2009 12:46:27	Gefunden: h***://www.viruslist.com/de/advisories/30832	c:\programme\adobe\Reader 8.0\Reader\plug_ins\Annots.api		
01.02.2009 12:48:14	Gefunden: h***://www.viruslist.com/de/advisories/29321	c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL		
01.02.2009 12:49:15	Gefunden: h***://www.viruslist.com/de/advisories/31454	c:\programme\microsoft office\office11\excel.exe		
01.02.2009 12:49:17	Gefunden: h***://www.viruslist.com/de/advisories/30150	c:\programme\microsoft office\office11\mspub.exe		
01.02.2009 12:49:18	Gefunden: h***://www.viruslist.com/de/advisories/29320	c:\programme\microsoft office\office11\outlook.exe		
01.02.2009 12:49:19	Gefunden: h***://www.viruslist.com/de/advisories/31453	c:\programme\microsoft office\office11\powerpnt.exe		
01.02.2009 12:49:20	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
01.02.2009 13:09:23	Aufgabe wurde abgeschlossen			
Vollständige Suche: abgeschlossen 01.02.2009 22:54:49   (Ereignis: 18, Objekte: 311904, Zeit: 00:37:05)	
01.02.2009 22:17:44	Aufgabe wurde gestartet			
01.02.2009 22:18:28	Gefunden: h***://www.viruslist.com/de/advisories/29321	c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL		
01.02.2009 22:18:29	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
01.02.2009 22:18:32	Gefunden: h***://www.viruslist.com/de/advisories/23483	c:\programme\adobe\acrobat 5.0\acrobat\acrobat.exe		
01.02.2009 22:18:32	Gefunden: h***://www.viruslist.com/de/advisories/29320	c:\programme\microsoft office\office11\outlook.exe		
01.02.2009 22:18:35	Gefunden: h***://www.viruslist.com/de/advisories/31454	c:\programme\microsoft office\office11\excel.exe		
01.02.2009 22:18:36	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
01.02.2009 22:18:38	Gefunden: h***://www.viruslist.com/de/advisories/31453	c:\programme\microsoft office\office11\powerpnt.exe		
01.02.2009 22:18:56	Gefunden: h***://www.viruslist.com/de/advisories/30150	c:\programme\microsoft office\office11\mspub.exe		
01.02.2009 22:33:29	Gefunden: h***://www.viruslist.com/de/advisories/23483	c:\programme\adobe\acrobat 5.0\acrobat\acrobat.exe		
01.02.2009 22:34:26	Gefunden: h***://www.viruslist.com/de/advisories/30832	c:\programme\adobe\Reader 8.0\Reader\plug_ins\Annots.api		
01.02.2009 22:35:47	Gefunden: h***://www.viruslist.com/de/advisories/29321	c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL		
01.02.2009 22:36:48	Gefunden: h***://www.viruslist.com/de/advisories/31454	c:\programme\microsoft office\office11\excel.exe		
01.02.2009 22:36:48	Gefunden: h***://www.viruslist.com/de/advisories/30150	c:\programme\microsoft office\office11\mspub.exe		
01.02.2009 22:36:48	Gefunden: h***://www.viruslist.com/de/advisories/29320	c:\programme\microsoft office\office11\outlook.exe		
01.02.2009 22:36:52	Gefunden: h***://www.viruslist.com/de/advisories/31453	c:\programme\microsoft office\office11\powerpnt.exe		
01.02.2009 22:36:58	Gefunden: h***://www.viruslist.com/de/advisories/30975	c:\programme\microsoft office\office11\winword.exe		
01.02.2009 22:54:50	Aufgabe wurde abgeschlossen

undoreal · 02.02.2009, 00:52

Kaspersky hat einige Dateien von Adobe Photoshop gelöscht die ich für sauber halte. Du solltest sie wieder herstellen und an newvirus@kaspersky.com schicken.
Als Betreff gibt possible false postiv an
und als Text diesen Auzug aus dem log:

Zitat:

31.01.2009 22:19:29 Gelöscht: Rootkit.Win32.TDSS.eyj c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Schwingungen.8BF
31.01.2009 22:19:29 Gefunden: Rootkit.Win32.TDSS.eyj c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Schwingungen.8BF
31.01.2009 22:19:29 Gelöscht: Rootkit.Win32.TDSS.eyj c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Kacheleffekt.8BF
31.01.2009 22:19:24 Gefunden: Rootkit.Win32.TDSS.eyj c:\programme\adobe\Photoshop 7.0\Zusatzmodule\Filter\Kacheleffekt.8BF

Packe die Dateien vorher in ein .rar oder .zip Archiv mit dem Passwort infected.

PS: Update mal dein Office. Da sind 'ne Menge Sicherheitslücken drinn. Steht alles im Kasperksy Bericht.

free1 · 03.02.2009, 14:21

Kaspersky hat geantwortet: No malicious code were found in these files.
Danke für den Hinweis auf die Photoshop Dateien.

Ich habe auch die Updates für Office installiert.

Gilt es sonst noch weitere Sicherheitschecks durchzuführen?
Oder ist die Bereinigung des Systems damit abgeschlossen und soll ich die Systemwiederherstellung dann jetzt wieder aktivieren?

Vielen vielen Dank für die grossartige Hilfe!!!

undoreal · 03.02.2009, 16:51

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Damit dein Rechner sauber bleibt beachte bitte folgendes:

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

free1 · 03.02.2009, 21:16

Der Panda active scan hat auch noch einige Schädlinge gefunden...
Das hört ja nie auf...

log:

Code:

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-02-03 20:36:52
PROTECTIONS: 1
MALWARE: 9
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Kaspersky Anti-Virus                         8.0.0.506                     Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00366244  Application/NirCmd.A               HackTools           No        0         No             No           C:\Dokumente und Einstellungen\***\Desktop\scan programme\USB Flash_Disinfector.exe[C:\Dokumente und Einstellungen\***\Desktop\scan programme\USB Flash_Disinfector.exe][nircmd.exe]
00367893  Trj/Cimuz.CG                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-2.de\Junk[1.zip][GEZ_Rechnung.pdf.exe]
00367893  Trj/Cimuz.CG                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web.de\Junk[1.zip][GEZ_Rechnung.pdf.exe]
00367893  Trj/Cimuz.CG                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\ImapMail\imap.web.de\Junk[1.zip][GEZ_Rechnung.pdf.exe]
00373969  Trj/Agent.EBY                      Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Junk[rechnung.exe]
00501859  Trj/Cimuz.CZ                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Inbox[empfangsschein.exe]
00526685  Trj/Cimuz.BE                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web.de\Junk[NR-[63341181].zip][Aktenzeichen.exe]
00526685  Trj/Cimuz.BE                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Inbox[NR-[59177566].zm9][Aktenzeichen.exe]
00526685  Trj/Cimuz.BE                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\ImapMail\imap.web.de\Junk[NR-[63341181].zip][Aktenzeichen.exe]
00526685  Trj/Cimuz.BE                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-2.de\Junk[NR-[63341181].zip][Aktenzeichen.exe]
00526685  Trj/Cimuz.BE                       Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Junk[NR-[59177566].zm9][Aktenzeichen.exe]
01440121  Trj/Downloader.PWQ                 Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Junk[isit.zip][isit.exe]
01440121  Trj/Downloader.PWQ                 Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Inbox[game.zip][isit.exe]
01440121  Trj/Downloader.PWQ                 Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Junk[game.zip][isit.exe]
01440121  Trj/Downloader.PWQ                 Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Inbox[isit.zip][isit.exe]
02900173  Trj/Spammer.AGB                    Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Junk[vid.zip][vid.exe]
02900173  Trj/Spammer.AGB                    Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\2hue9ume.default\Mail\pop3.web-1.de\Inbox[vid.zip][vid.exe]
03477235  Application/SmithFraudFix.A        HackTools           No        0         Yes            No           C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\SmitfraudFix.exe
04761320  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\DoctorWeb\Quarantine\ComboFix.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              $
;===================================================================================================================================================================================
No        D:\Downloads\selfsearch-setup.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     $
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                $
;===================================================================================================================================================================================
;===================================================================================================================================================================================

undoreal · 03.02.2009, 21:27

Ich hab' dir vorher schon gesagt, dass dein System nicht mehr vertrauenswürdig ist!

Ich würde noch einige online Scans machen und evtl. auch mal mit ner Live CD scannen..

26.01.2009, 22:02	#2
undoreal /// AVZ-Toolkit Guru	Trojaner TR/crypt.xpack.gen u. win32.dnschanger entfernen entfernen Bei deiner Problembeschreibung rate ich dir neuaufzusetzen. Aber wir können auch gerne versuchen die Wunden zu flicken. __________________ __________________

Trojaner TR/crypt.xpack.gen u. win32.dnschanger entfernen entfernen

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/crypt.xpack.gen u. win32.dnschanger entfernen entfernen