Problem mit nem Trojaner?!

effex · 10.02.2009, 11:02

Guten Tag,

ich habe seit ein paar Tagen immer weider Fehlermeldungen von AntiVir indem mir gesagt wird das mein Laptop mit dem Trojaner:

senekarkndqovy.dll
TR/TDss.BG.20

befallen ist..

Die Fehlermeldung kommt täglich ca. 10 mal und dadrann änder sich nichts egal ob ich "Löschen", "Zugriff verweigern" oder sonstiges auswähle!

Seit kurzem kommt es auch öfters zum Bluescreen...
Wenn ich z.B. GTA IV spiele kommt nach einer kurzen Zeit immer ein Bluescreen!

Hier ist mein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:53, on 10.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe
C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
D:\GTA VI\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HIjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] D:\GTA VI\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8323 bytes

Danke schonmal im Vorraus!!!!

Jig Saw · 10.02.2009, 12:46

Hallo effex

Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HijackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deaktivieren der Systemwiederherstellung

Windows XP:

Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
Wähle den Reiter "Systemwiederherstellung"
Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
Jetzt den PC booten, der Start kann eine Weile dauern
Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Windows Vista:
Windows Vista Symbol anklicken
In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 3
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

CCleaner

Downloade CCleaner und speichere die Datei auf dem Desktop
Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
Das angegebene Zielverzeichnis mit "weiter >" bestätigen
Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
Mit Doppelklick CCleaner öffnen
Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
"Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
Diese Prozedur bei jedem Benutzerkonto durchführen
Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 4
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 5
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 6
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Konfiguriere die Ordneransicht vernünftig um => Ordneransicht

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 7
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SDFix anwenden:

Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

effex · 10.02.2009, 14:09

Hey,

danke für die schnelle Antwort!

Also im vorraus erstmal ich benutze die 32 Bit Version von Vista!

Ich habe alle Schritte befolgt aber leider ist mir grade aufgefallen das ich beim benutzen des CCleaner nicht eignestellt habe das ich es als Administrator ausführen will... deswegen habe ich es noch einmal gestartet und habe nun 2 Log-Files.. Ich hoffe das ist kein zu großes Problem...

Log file 1:

2007 Microsoft Office system Microsoft Corporation
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation
Adobe Flash Player 10 Plugin Adobe Systems Incorporated
Adobe Photoshop CS2 Adobe Systems, Inc.
Adobe Reader 8.1.2 - Deutsch Adobe Systems Incorporated
Agere Systems HDA Modem Agere Systems
AI TouchMedia CyberLink Corp.
Apple Mobile Device Support Apple Inc.
Apple Software Update Apple Inc.
ASUS CopyProtect ASUS
ASUS Data Security Manager ASUS
ASUS LifeFrame3 ASUS
ASUS Live Update ASUS
ASUS MultiFrame
ASUS Power4Gear eXtreme ASUS
ASUS SmartLogon ASUS
ASUS Splendid Video Enhancement Technology ASUS
ASUS Virtual Camera ASUS
Asus_Camera_ScreenSaver ASUS
ATK Generic Function Service ATK
ATK Hotkey ASUS
ATK Media
ATKOSD2 ASUS
Avira AntiVir Personal - Free Antivirus Avira GmbH
Bonjour Apple Inc.
CCleaner (remove only) Piriform
Counter-Strike Valve
CyberLink LabelPrint CyberLink Corp.
CyberLink Power2Go CyberLink Corp.
DivX Codec DivX, Inc.
DivX Converter DivX, Inc.
DivX Player
DivX Web Player DivX,Inc.
Dolby Control Center Dolby
Express Gate devicevm
Free YouTube to Mp3 Converter version 3.1 DVD Video Soft Limited.
Graffiti Studio 2.0 Less Rain
Grand Theft Auto IV Rockstar Games
HijackThis 2.0.2 TrendMicro
ICQ6.5 ICQ
ITECIR ITE
iTunes Apple Inc.
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Microsoft Corporation
Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Corporation
Microsoft Games for Windows - LIVE Microsoft Corporation
Microsoft Games for Windows - LIVE Redistributable Microsoft Corporation
Microsoft Silverlight Microsoft Corporation
Mozilla Firefox (3.0.6) Mozilla
NB Probe
Net4Switch ASUS
NVIDIA Drivers NVIDIA Corporation
OpenOffice.org 3.0 OpenOffice.org
QuickTime Apple Inc.
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista Realtek
Realtek High Definition Audio Driver Realtek Semiconductor Corp.
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.55.01
RivaTuner v2.0 RC 15.4
Rockstar Games Social Club Rockstar Games
Santa Claus in Trouble
Steam Valve
Synaptics Pointing Device Driver Synaptics
TeamSpeak 2 RC2 Dominating Bytes Design
Uninstall 1.0.0.1
USB2.0 UVC 1.3M WebCam
VLC media player 0.9.8a VideoLAN Team
WIDCOMM Bluetooth Software Broadcom Corporation
Winamp Nullsoft, Inc
Windows Live installer Microsoft Corporation
Windows Live Messenger Microsoft Corporation
WinFlash
WinRAR
Wireless Console 2 ATK

Log File 2:

2007 Microsoft Office system Microsoft Corporation
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation
Adobe Flash Player 10 Plugin Adobe Systems Incorporated
Adobe Photoshop CS2 Adobe Systems, Inc.
Adobe Reader 8.1.2 - Deutsch Adobe Systems Incorporated
Agere Systems HDA Modem Agere Systems
AI TouchMedia CyberLink Corp.
Apple Mobile Device Support Apple Inc.
Apple Software Update Apple Inc.
ASUS CopyProtect ASUS
ASUS Data Security Manager ASUS
ASUS LifeFrame3 ASUS
ASUS Live Update ASUS
ASUS MultiFrame
ASUS Power4Gear eXtreme ASUS
ASUS SmartLogon ASUS
ASUS Splendid Video Enhancement Technology ASUS
ASUS Virtual Camera ASUS
Asus_Camera_ScreenSaver ASUS
ATK Generic Function Service ATK
ATK Hotkey ASUS
ATK Media
ATKOSD2 ASUS
Avira AntiVir Personal - Free Antivirus Avira GmbH
Bonjour Apple Inc.
CCleaner (remove only) Piriform
Counter-Strike Valve
CyberLink LabelPrint CyberLink Corp.
CyberLink Power2Go CyberLink Corp.
DivX Codec DivX, Inc.
DivX Converter DivX, Inc.
DivX Player
DivX Web Player DivX,Inc.
Dolby Control Center Dolby
Express Gate devicevm
Free YouTube to Mp3 Converter version 3.1 DVD Video Soft Limited.
Graffiti Studio 2.0 Less Rain
Grand Theft Auto IV Rockstar Games
HijackThis 2.0.2 TrendMicro
ICQ6.5 ICQ
ITECIR ITE
iTunes Apple Inc.
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Corporation
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation
Microsoft Games for Windows - LIVE Microsoft Corporation
Microsoft Games for Windows - LIVE Redistributable Microsoft Corporation
Microsoft Silverlight Microsoft Corporation
Mozilla Firefox (3.0.6) Mozilla
NB Probe
Net4Switch ASUS
NVIDIA Drivers NVIDIA Corporation
OpenOffice.org 3.0 OpenOffice.org
QuickTime Apple Inc.
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista Realtek
Realtek High Definition Audio Driver Realtek Semiconductor Corp.
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.55.01
RivaTuner v2.0 RC 15.4
Rockstar Games Social Club Rockstar Games
Santa Claus in Trouble
Steam Valve
Synaptics Pointing Device Driver Synaptics
TeamSpeak 2 RC2 Dominating Bytes Design
Uninstall 1.0.0.1
USB2.0 UVC 1.3M WebCam
VLC media player 0.9.8a VideoLAN Team
WIDCOMM Bluetooth Software Broadcom Corporation
Winamp Nullsoft, Inc
Windows Live installer Microsoft Corporation
Windows Live Messenger Microsoft Corporation
WinFlash
WinRAR
Wireless Console 2 ATK

HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:33, on 10.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe
C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
D:\GTA VI\Rockstar Games Social Club\1_1_3_0\RGSC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\HIjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] D:\GTA VI\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8209 bytes

Ich habe die Schritte im letzten Punkt genau befolgt aber die runthis.bat Datei ließ sich nicht öffnen, es öffnete sich lediglich ein kleines Fenster für ca 1 Sekunde!

Jig Saw · 10.02.2009, 14:54

Bist du dir auch sicher dass du die Datei auch im abgesicherten Modus ausgeführt hast?

diese Einträge fixen bei HiJackThis:

Code:

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

effex · 10.02.2009, 14:57

ja, da bin ich mir ganz sicher!
Habs sogar mehrmals versucht!

OK fixed!

Jig Saw · 10.02.2009, 15:04

und du bist dir auch ganz sicher auf RunThis.bat geklickt zu haben?
das ist wichtig

Wenn du dir sicher bist dann mach damit weiter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Gmer

Donwloade Gmer
Entpacke es auf dem Desktop
Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
Schließe bitte alle Anwendungen, auch das Antivirusprogramm
Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
Beende GMER mit "OK"

effex · 10.02.2009, 15:23

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-10 15:21:02
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281CCD0
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C0E8
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C3D8
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82807D64
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8280801C
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C1C0
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281CB40
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281C6D4
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281D100
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8281D36C

Code 8FBF4490 ZwEnumerateKey
Code 8FB6D340 ZwFlushInstructionCache
Code 8FBF44FD IofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 828F3F6F 5 Bytes JMP 8FBF4502
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 829EA30B 5 Bytes JMP 8FB6D344
PAGE ntkrnlpa.exe!ZwEnumerateKey 82A3FBB4 5 Bytes JMP 8FBF4494

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [72E57BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [72E998C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [72E5D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [72E4F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [72E57599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [72E4E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [72E8B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [72E5D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [72E5012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [72E50095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [72E471F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [72EDD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [72E775E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [72E4DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [72E4668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [72E466BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3588] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [72E51E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1

effex · 10.02.2009, 15:24

---- Services - GMER 1.0.14 ----

Service C:\Windows\system32\drivers\senekaocpuixtw.sys (*** hidden *** ) [SYSTEM] seneka <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\seneka
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet001\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002243a123f8
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002243a123f8@0022989357c4 0x44 0x8D 0x1E 0xD1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002243a123f8
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002243a123f8@0022989357c4 0x44 0x8D 0x1E 0xD1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\seneka
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet003\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet004\Services\seneka
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet004\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet004\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet005\Services\seneka
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet005\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet005\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet006\Services\seneka
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet006\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet006\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat
Reg HKLM\SYSTEM\ControlSet007\Services\BTHPORT\Parameters\Keys\002243a123f8
Reg HKLM\SYSTEM\ControlSet007\Services\BTHPORT\Parameters\Keys\002243a123f8@0022989357c4 0x44 0x8D 0x1E 0xD1 ...
Reg HKLM\SYSTEM\ControlSet007\Services\seneka
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@start 1
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@type 1
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@imagepath \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet007\Services\seneka@group file system
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@seneka.dll \systemroot\system32\senekascystvvg.dll
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@seneka.sys \systemroot\system32\drivers\senekaocpuixtw.sys
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@senekalog.dat \systemroot\system32\senekapcvdlxue.dat
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@senekawi.dll \systemroot\system32\senekaslmptinx.dll
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@senekaff.dll \systemroot\system32\senekarkndqovy.dll
Reg HKLM\SYSTEM\ControlSet007\Services\seneka\modules@seneka.dat \systemroot\system32\senekaxrveoscp.dat

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----

Jig Saw · 10.02.2009, 18:17

Okay diesen Rootkit killen wir mit:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Malwarebytes' Anti-Malware

Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
Installiere Anti-Malware unter dem vorgegebenen Pfad
Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
Klicke alle Laufwerke an => drücke "Scan starten"
Lasse alle Funde löschen!
Poste anschließend das enstandene Logfile

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SUPERAntiSpyware

Downloade SASW >>hier<<
Installiere das SUPERAntiSpyware für alle Benutzer mit den vorgegebenen Installationseinstellungen
Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
Wähle nun den Reiter "Scanning Control" und setze Haken bei:
Close browseres before scanning
Scan for tracking cookies
Resolve Links/Shortcuts during scan (.Ink)
Scan Alternate Data Streams
Use Kernel Direct File Access (recommended)
Use Kernel Direct Registry Access (recommended)
Use Direct Disk Access (recommended)
Display scan option in Explorer context (right-click) menu

Wechsel in den abgesicherten Modus:

Starte den PC neu
Drücke beim Hochfahren mehrmals die Taste [F8]
Es erscheint ein Windows-Menü, navigiere dich mit den Pfeiltasten zu der Option abgesicherter Modus
bestätige mit der Eingabetaste

[*]Starte nun im abgesichertem Modus SASW[*]Klicke im Hauptmenü den Button "Scan your Computer..."[*]Wähle in der Scan Location alle Festplatten und externe Datenträger aus[*]Klicke auf "Perform Complete Scan" und gehe auf "weiter"[*]Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"[*]Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."[*]Poste nun das Log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

versuche nun erneut SDFix zu starten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

HiJackThis

Downloade HijackThis auf dem Desktop von >>hier<<
Bennene die heruntergeladene Datei z.B. in asdf.com um. Bitte auf die Endung achten!
Installiere HijackThis unter dem angegebenen Pfad
Wenn du mit den Lizenzbedingungen einverstanden bist, bestätige mit "I Accept"
Es erscheint das "Main menu"
Klicke auf den Button "do a system scan and save a logfile"
Es erscheint ein Logfile, kopiere alles und poste es hier
Wenn verlangt wird, dass ein neuer HijackThis Log gepostet werden soll, dann mache erneut einen System Scan und poste das neu entstandene Logfile

effex · 11.02.2009, 16:06

Ich habe nun Malware.. durchlaufen lassen ! Es gab ein paar Funde aber es konnten nicht alle gelöscht werden, darauf hin wollte das Programm das ich meine PC neustarte...gesagt getan... aber nach dem neustart öffnete sich das Programm nicht noch einmal um die letzen Datein zu löchen...

Malware log:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1744
Windows 6.0.6001 Service Pack 1

11.02.2009 14:06:42
mbam-log-2009-02-11 (14-06-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 163336
Laufzeit: 17 hour(s), 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\senekarkndqovy.dll (Trojan.Seneka) -> Delete on reboot.
C:\Windows\System32\senekaslmptinx.dll (Trojan.Seneka) -> Delete on reboot.
C:\Windows\System32\drivers\senekaocpuixtw.sys (Trojan.Seneka) -> Delete on reboot.
C:\Windows\System32\senekapcvdlxue.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekascystvvg.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\senekaxrveoscp.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Jig Saw · 11.02.2009, 16:09

Zitat:

Zitat von effex

C:\Windows\System32\drivers\senekaocpuixtw.sys (Trojan.Seneka) -> Delete on reboot.

Alles in Ordnung da steht delete on reboot das wird beim Neustart gelöscht

effex · 11.02.2009, 16:47

Mir wurde aber nicht angezeigt das es gelöscht wurde...
SDfix hat wieder nicht funktioniert.. auch nicht nach einer Neuinstallation des Programmes!

Superanti log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/11/2009 at 04:34 PM

Application Version : 4.25.1012

Core Rules Database Version : 3751
Trace Rules Database Version: 1717

Scan type : Complete Scan
Total Scan Time : 00:20:01

Memory items scanned : 283
Memory threats detected : 0
Registry items scanned : 6312
Registry threats detected : 2
File items scanned : 23148
File threats detected : 10

Adware.Tracking Cookie
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@tradedoubler[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atwola[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@bluestreak[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@adserver.71i[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@ad.zanox[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@weborama[2].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@doubleclick[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@adfarm1.adition[2].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@zbox.zanox[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atdmt[2].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

effex · 11.02.2009, 16:48

HiJackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:41, on 11.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe
C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe
C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HIjack\HijackThis.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\ASUS\AI TouchMedia\AI TouchMedia\PCMAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\ASUS\AI TouchMedia\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7969 bytes

Jig Saw · 11.02.2009, 17:15

Mit SUPERAntiSpyware hast du aber nicht im abgesicherten Modus gescannt.
Update und scanne im abgesicherten Modus

effex · 11.02.2009, 19:50

Ich habe es im abgesichertem modus gescannt!

Trotzdem hab ich es nocheinmal gemacht!

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/11/2009 at 07:45 PM

Application Version : 4.25.1012

Core Rules Database Version : 3751
Trace Rules Database Version: 1717

Scan type : Complete Scan
Total Scan Time : 00:19:48

Memory items scanned : 295
Memory threats detected : 0
Registry items scanned : 6313
Registry threats detected : 2
File items scanned : 23162
File threats detected : 5

Adware.Tracking Cookie
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atwola[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@adserver.71i[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@weborama[2].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@doubleclick[1].txt
C:\Users\EFFEX\AppData\Roaming\Microsoft\Windows\Cookies\effex@atdmt[2].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

11.02.2009, 17:15	#14
Jig Saw /// Helfer-Team	Problem mit nem Trojaner?! Mit SUPERAntiSpyware hast du aber nicht im abgesicherten Modus gescannt. Update und scanne im abgesicherten Modus __________________ A fool with a tool is still a fool

Problem mit nem Trojaner?!

Log-Analyse und Auswertung: Problem mit nem Trojaner?!