Hallo zusammen,

wiedereinmal habe ich die Seuche.
Wenn ich den PC einschalte ist anfangs alles in Ordnung, nachdem der PC aber länger an ist (24h+) fängt sich an meine Umgebung aufzulösen (Texte und Grafiken verschwinden, Fehlermeldungen erscheinen, immer verschieden)

Hier erstmal die HJT-Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:26:54, on 19.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\rundll32.exe
C:\ProgZ\cFosSpeed\cFosSpeed.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\ProgZ\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\ProgZ\DNsoft.be\DNsoft.be WiFi SiStr\WiFi SiStr.exe
C:\ProgZ\Microsoft Office\Office12\OUTLOOK.EXE
C:\ProgZ\Samurize\Client.exe
C:\ProgZ\SysTool\SysTool.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\ProgZ\cFosSpeed\spd.exe
C:\ProgZ\Borland\InterBase\bin\ibguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\ProgZ\WebDrive\wdService.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\ProgZ\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ProgZ\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\ProgZ\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ProgZ\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge
O4 - HKLM\..\Run: [cFosSpeed] C:\ProgZ\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [AnyDVD] C:\ProgZ\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [WiFiSiStr] C:\ProgZ\DNsoft.be\DNsoft.be WiFi SiStr\WiFi SiStr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office Outlook 2007.lnk = ?
O4 - Startup: Samurize.lnk = C:\ProgZ\Samurize\Client.exe
O4 - Startup: SysTool.lnk = C:\ProgZ\SysTool\SysTool.exe
O8 - Extra context menu item: &NeoTrace It! - C:\ProgZ\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ProgZ\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ProgZ\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ProgZ\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\ProgZ\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ProgZ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ProgZ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\ProgZ\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\ProgZ\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\ProgZ\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ProgZ\MICROS~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\ProgZ\KASPER~1\KASPER~1.0\adialhk.dll,C:\ProgZ\KASPER~1\KASPER~1\mzvkbd.dll,C:\ProgZ\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ProgZ\KASPER~1\KASPER~1\adial hk.dll,C:\ProgZ\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\ProgZ\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\ProgZ\cFosSpeed\spd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\ProgZ\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\ProgZ\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\ProgZ\Borland\InterBase\bin\ibserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\ProgZ\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WebDrive Service (WebDriveService) - South River Technologies, LLC - C:\ProgZ\WebDrive\wdService.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

--
End of file - 9079 bytes


Mache grad noch einen Scan mit "MBAM", werde die Log posten sobald ich wieder wach bin.


In diesem Sinne
Gute Nacht
Viele liebe Grüße
Kri

Hallo nochmal,

hier noch die Log vom MBAM-Scan:


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1778
Windows 5.1.2600 Service Pack 2

19.02.2009 07:33:48
mbam-log-2009-02-19 (07-33-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 220005
Laufzeit: 1 hour(s), 19 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\boot.ini (Trojan.Agent) -> Quarantined and deleted successfully.


Viele liebe Grüße
Kri

Guten Morgen Kri.

Fixe mit HJT folgende Einträge:

Zitat:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
C:\Programme\AskBarDis
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Scanne den Rechner danach noch mit SUPERAntiSpyware und poste das log.


Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Hallo undoreal,

erstmal Danke für deine Antwort.

Hab jetzt die beiden Scans gemacht, hier die Logs:


ComboFix:

ComboFix 09-02-17.02 - Kri 2009-02-19 9:15:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.3326.2764 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kri\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Kri\Anwendungsdaten\inst.exe
c:\windows\assys.dll
c:\windows\config.ini
c:\windows\ffnsys.dll
c:\windows\gstcore.dll
c:\windows\mfnsys.dll
c:\windows\rsczsys.dll
c:\windows\snsys.dll
c:\windows\uawin.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FCI
-------\Legacy_ICF
-------\Legacy_NPF
-------\Legacy_XPROTECTOR
-------\Service_XPROTECTOR


((((((((((((((((((((((( Dateien erstellt von 2009-01-19 bis 2009-02-19 ))))))))))))))))))))))))))))))
.

2009-02-18 22:42 . 2009-02-18 22:42 461 --a------ c:\windows\system32\%LocalXml%
2009-02-14 18:44 . 2009-02-14 18:44 <DIR> d-------- c:\programme\Common Files
2009-02-14 18:44 . 2009-02-14 18:50 94,208 --a------ c:\windows\ScUnin.exe
2009-02-14 18:44 . 2009-02-14 18:50 30,947 --a------ c:\windows\scunin.dat
2009-02-14 18:44 . 2009-02-14 18:50 967 --a------ c:\windows\ScUnin.pif
2009-02-14 01:03 . 2009-02-14 01:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreshGames
2009-02-14 01:02 . 2009-02-14 01:02 <DIR> d-------- c:\windows\Ranch Rush
2009-02-06 11:50 . 2009-02-06 12:35 32 --a------ c:\windows\0
2009-02-06 11:50 . 2009-02-06 11:50 0 --a------ c:\windows\system32\0
2009-01-30 12:39 . 2009-01-30 12:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-01-30 12:35 . 2002-12-12 22:35 86,016 -ra------ c:\windows\system32\drivers\SCBaud.w9x
2009-01-30 12:35 . 2002-09-18 00:11 77,824 -ra------ c:\windows\system32\drivers\SioUi2k.dll
2009-01-30 12:35 . 2003-08-04 07:05 73,728 -ra------ c:\windows\system32\drivers\SCBaud.cpl
2009-01-30 12:35 . 2003-07-03 19:58 63,488 -ra------ c:\windows\system32\drivers\wssbtr1f.sys
2009-01-30 12:35 . 2003-04-28 18:31 51,169 -ra------ c:\windows\system32\drivers\OXSER.SYS
2009-01-30 12:35 . 2004-03-23 03:26 48,556 -ra------ c:\windows\system32\drivers\SktBt2k.sys
2009-01-30 12:35 . 2004-02-11 06:29 48,076 -ra------ c:\windows\system32\drivers\Sio9502k.sys
2009-01-30 12:35 . 2002-09-23 00:30 40,960 -ra------ c:\windows\system32\drivers\SCTray.exe
2009-01-30 12:35 . 2004-03-03 05:04 16,486 -ra------ c:\windows\system32\drivers\sktsio9x.vxd
2009-01-30 12:35 . 2000-11-19 16:56 14,380 -ra------ c:\windows\system32\drivers\OXSER.VXD
2009-01-30 12:35 . 2001-07-12 07:19 5,787 -ra------ c:\windows\system32\drivers\SCTB.VXD
2009-01-30 12:34 . 2005-04-30 14:50 28,271 --a------ c:\windows\system32\drivers\BTHidMgr.sys
2009-01-30 12:34 . 2005-04-30 14:50 11,860 --a------ c:\windows\system32\drivers\vbtenum.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-19 08:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-19 08:18 561,956 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-02-19 08:18 41,099,552 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-19 08:18 231,980 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-02-19 08:18 2,418,464 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-02-18 20:27 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\Azureus
2009-02-15 19:59 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-02-14 14:09 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\FileZilla
2009-02-14 11:52 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-04 14:00 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-02-03 17:27 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-03 17:27 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2009-01-23 20:29 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\ICQ
2009-01-12 20:21 --------- d-----w c:\programme\Gemeinsame Dateien\Mediafour
2009-01-12 20:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mediafour
2009-01-08 15:20 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WebDrive
2009-01-08 15:18 3,362,816 ----a-w c:\windows\system32\wdHelper.dll
2009-01-05 01:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apowersoft
2009-01-01 23:04 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\Kana Solution
2008-12-30 19:44 720,896 ----a-w c:\windows\iun6002.exe
2008-12-25 13:12 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\Xbins
2008-12-23 18:45 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\XBList
2008-12-19 01:29 41,888 ----a-w c:\windows\system32\drivers\Oreans.sys
2008-12-15 03:18 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-14 07:41 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-13 11:46 94,208 ----a-w c:\windows\DUMP6726.tmp
2008-12-13 11:39 94,208 ----a-w c:\windows\DUMP69a6.tmp
2008-12-12 03:04 135 ----a-w C:\TestICQ2.bin
2008-12-06 18:49 604 ---ha-w c:\programme\STLL Notifier
2008-12-05 16:03 972,040 ----a-w c:\dokumente und einstellungen\Kri\KAVremover9.exe
2008-11-29 12:07 47,360 ----a-w c:\dokumente und einstellungen\Kri\Anwendungsdaten\pcouffin.sys
2008-11-20 14:55 413,696 ----a-w c:\windows\system32\wrap_oal.dll
2008-11-20 14:55 110,592 ----a-w c:\windows\system32\OpenAL32.dll
2008-04-29 13:49 22,328 ----a-w c:\dokumente und einstellungen\Kri\Anwendungsdaten\PnkBstrK.sys
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

2008-08-16 16:31 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\ctfmon.exe
2008-08-16 16:31 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\progz\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-03-21 1739712]
"WiFiSiStr"="c:\progz\DNsoft.be\DNsoft.be WiFi SiStr\WiFi SiStr.exe" [2007-05-02 921600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"cFosSpeed"="c:\progz\cFosSpeed\cFosSpeed.exe" [2007-08-10 846800]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 761947]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"AVP"="c:\progz\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-04 206088]
"BIH"="bih.dll" [2008-05-01 c:\windows\system32\bih.dll]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-08-16 24064]

c:\dokumente und einstellungen\Kri\Startmen�\Programme\Autostart\
Microsoft Office Outlook 2007.lnk - c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe [2008-04-29 845584]
Samurize.lnk - c:\progz\Samurize\Client.exe [2007-04-07 2010624]
SysTool.lnk - c:\progz\SysTool\SysTool.exe [2007-05-29 1265664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VistaAccess.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VistaAccess.lnk
backup=c:\windows\pss\VistaAccess.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kri^Startmenü^Programme^Autostart^HotSpot Manager.lnk]
path=c:\dokumente und einstellungen\Kri\Startmenü\Programme\Autostart\HotSpot Manager.lnk
backup=c:\windows\pss\HotSpot Manager.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kri^Startmenü^Programme^Autostart^Microsoft Office Outlook 2007.lnk]
path=c:\dokumente und einstellungen\Kri\Startmenü\Programme\Autostart\Microsoft Office Outlook 2007.lnk
backup=c:\windows\pss\Microsoft Office Outlook 2007.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\progz\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 20:21 57344 c:\progz\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-08-16 16:31 24064 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DynDNS Updater]
--a------ 2006-09-17 10:32 1352704 c:\progz\DynDNS Updater\DynDNS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EDS]
--a------ 2007-01-11 09:08 634880 c:\programme\Samsung\Samsung EDS\EDSAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Getting started with MacDrive]
--a------ 2007-06-13 13:23 139264 c:\programme\Mediafour\MacDrive 7\MDGetStarted.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\progz\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDDHealth]
--a------ 2008-04-12 18:48 1687552 c:\progz\HDD Health\hddhealth.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\progz\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MacDrive application]
--a------ 2007-07-12 10:57 179288 c:\programme\Mediafour\MacDrive 7\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDGetStarted.exe]
--a------ 2007-06-13 13:23 139264 c:\programme\Mediafour\MacDrive 7\MDGetStarted.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]
--a------ 2008-03-19 22:39 37144 c:\progz\Mindjet\MindManager 7\MmReminderService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 11:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 19:31 1372160 c:\programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 14:21 94208 c:\progz\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 19:49 36352 c:\progz\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{B179023B-6238-4499-8F26-CD73E9D90E0A}]
--a------ 2007-07-12 10:57 179288 c:\programme\Mediafour\MacDrive 7\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2006-08-30 15:40 89542 c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
--a------ 2006-05-04 15:26 2808832 c:\windows\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MacroKeyManager]
--a------ 2007-01-26 09:14 1925120 c:\windows\system32\WTMKM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-07-05 15:08 16380416 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-06-15 15:45 1826816 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2006-07-21 15:14 86016 c:\windows\SoundMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MacDriveService"=2 (0x2)
"AVP"=2 (0x2)
"XAMPP"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\ProgZ\\Miranda IM\\miranda32.exe"=
"c:\\ProgZ\\Azureus\\Azureus.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\ProgZ\\BearShare\\BearShare.exe"=
"c:\\ProgZ\\xchat\\xchat.exe"=
"c:\\ProgZ\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\ProgZ\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\ProgZ\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\ProgZ\\CSpace\\CSpace.exe"=
"c:\\ProgZ\\KGB\\Mpk.exe"=
"c:\\ProgZ\\KGB\\MpkView.exe"=
"c:\\GameZ\\Soldat\\Soldat.exe"=
"c:\\ProgZ\\ICQ6\\ICQ.exe"=
"c:\\ProgZ\\FileZilla FTP Client\\filezilla.exe"=
"c:\\ProgZ\\WebDrive\\webdrive.exe"=
"c:\\ProgZ\\WebDrive\\wdService.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2009-01-12 38448]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R0 MDFSYSNT;MacDrive file system driver;c:\windows\system32\drivers\MDFSYSNT.SYS [2007-09-05 277888]
R0 MDPMGRNT;MDPMGRNT;c:\windows\system32\drivers\MDPMGRNT.sys [2007-02-28 19072]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [2009-01-16 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [2009-01-16 51072]
R1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2006-11-10 24064]
R2 WTService;WTService;c:\windows\system32\ATWTUSB.EXE [2008-06-04 315392]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [2006-10-12 28160]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
S1 666a17bb;666a17bb;c:\windows\system32\drivers\666a17bb.sys [2008-12-14 0]
S2 RPCHE;Remote Procedure Call (RPCE);c:\programme\Common Files\Microsoft Shared\Speech\csvd.exe [2009-02-14 17238528]
S2 WebDriveFSD;WebDrive Filesystem Driver;\??\c:\progz\WebDrive\wdfsd.sys --> c:\progz\WebDrive\wdfsd.sys [?]
S3 ADDMEM;ADDMEM;\??\c:\dokume~1\Kri\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS --> c:\dokume~1\Kri\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS [?]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 CV2K1;CommView Network Monitor;c:\windows\system32\DRIVERS\cv2k1.sys --> c:\windows\system32\DRIVERS\cv2k1.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\progz\MAGIX\Common\Database\bin\fbserver.exe [2008-07-25 1527900]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 TSCOMM;CommStudio Virtual Adapter by TamoSoft;c:\windows\system32\drivers\tscomm.sys [2008-04-26 40232]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2008-07-25 544768]
S3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-04-10 57344]
S4 MacDriveService;MacDriveService;c:\programme\Mediafour\MacDrive 7\MacDriveService.exe [2007-05-01 143360]
S4 XAMPP;XAMPP Service;d:\xampp\service.exe --> d:\xampp\service.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c406c3ae-e0dc-11dd-85e6-0011675ac317}]
\Shell\Auto\command - G:\lbzvuoluz.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL lbzvuoluz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff7d030c-9451-11dd-ae85-0011675ac317}]
\Shell\Auto\command - hniqepahd.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL hniqepahd.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-13 c:\windows\Tasks\1-Click Maintenance.job
- c:\progz\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:51]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-MacDrive Volume Icons - (no file)
MSConfigStartUp-ACU - c:\programme\Atheros WLAN Client\ACU.exe
MSConfigStartUp-BtTray - c:\progz\IVT Corporation\BlueSoleil\BtTray.exe
MSConfigStartUp-DSS - c:\windows\TCPIPSysWiz.exe
MSConfigStartUp-manager - c:\windows\System32\drivers\setup\manager.exe
MSConfigStartUp-rs32net - c:\windows\System32\rs32net.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.6.0_06\bin\jusched.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progz\NEOTRA~1\NTXcontext.htm
IE: Hinzufügen zu Anti-Banner - c:\progz\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Kri\Anwendungsdaten\Mozilla\Firefox\Profiles\nt52kias.default\
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/
FF - plugin: c:\progz\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: c:\windows\system32\C2MP\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 09:20:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-343818398-1606980848-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:79,6f,89,d8,c7,5a,d7,35,f0,6f,a7,ce,54,22,a0,5f,c7,3b,3c,f6,3c,ed,ae,
9b,97,e0,60,7b,71,34,31,e0,7d,55,78,8f,32,a0,35,03,84,08,6b,63,a8,b6,96,b1,\
"??"=hex:c7,85,6c,82,4e,76,47,27,f9,de,0d,1b,92,f5,6a,65

[HKEY_USERS\S-1-5-21-343818398-1606980848-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:15,57,e6,e2,ab,b6,1b,bb,0d,4e,d3,13,dd,58,b3,01,5d,16,bc,7f,6d,
1b,82,97,df,18,86,85,95,1c,eb,30,89,87,2f,fb,d2,12,9b,c7,7a,02,f4,c3,40,14,\
"rkeysecu"=hex:d7,1d,5c,5c,55,e9,63,49,c9,1e,53,0c,0a,06,df,da
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1800)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\wdnp32.dll
c:\windows\system32\wdHelper.dll
c:\windows\system32\wdUIResDll.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\TGTSoft\StyleXP\StyleXPService.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
c:\progz\Microsoft Office\Office12\OUTLOOK.EXE
c:\programme\Bonjour\mDNSResponder.exe
c:\progz\cFosSpeed\spd.exe
c:\progz\Borland\InterBase\bin\ibguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\PnkBstrA.exe
c:\progz\WebDrive\wdService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progz\Borland\InterBase\bin\ibserver.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-19 9:25:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-19 08:25:25

Vor Suchlauf: 24 Verzeichnis(se), 40.620.539.904 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 40,515,903,488 Bytes frei

337

SUPERAntiSpyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/19/2009 at 11:23 AM

Application Version : 4.25.1012

Core Rules Database Version : 3766
Trace Rules Database Version: 1726

Scan type : Complete Scan
Total Scan Time : 01:50:29

Memory items scanned : 510
Memory threats detected : 0
Registry items scanned : 7211
Registry threats detected : 0
File items scanned : 153639
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adbrite[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@doubleclick[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@virus-webscanner[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@www.safewebnavigate2008[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@tacoda[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@atwola[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@fastclick[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@virus9-webscanner[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ads.widgetbucks[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@www.etracker[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@advertising[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ad3.clickhype[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@at.atwola[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adtech[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@stats.paypal[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@scan.wspscanner[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ads.heias[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@apmebf[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@zedo[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@xiti[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@atdmt[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@flixbanner.bearshare[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adserver.easyad[1].txt

BearShare File Sharing Client
C:\PROGZ\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\KRI\DESKTOP\PROGZ\BEARSHARE.LNK
C:\windows\Prefetch\BEARSHARE.EXE-1C09E6AC.pf

Desktop Hijacker.AboutYourPrivacy
C:\WINDOWS\PRIVACY_DANGER(2)(2)\IMAGES(2)\CAPT.GIF
C:\WINDOWS\PRIVACY_DANGER(2)(2)\IMAGES(2)\DOWN.GIF


Viele liebe Grüße
Kri

Deinstalliere Bearshare.
Deinstalliere Azureus.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
C:\ProgZ\BEARSHARE
C:\ProgZ\Azureus
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hallo,

mach ich gleich, aber mir sind gerade noch ein paar Prozesse in der msconfig aufgefallen:





Sind die okay?

Reiche die Log gleich nach.


Viele liebe Grüße
Kri

Die Autostarts sind O.k.

Hallo zusammen,

hab ganz vergessen hier zu posten. Das Problem ist immer noch da, jetzt hab ich allerdings bemerkt, dass mir Kaspersky kurz vor dem Absturz eine Warnung zu einem Keylogger gibt (/DRIVER/SYNTP), welche ja für das Touchpad zuständig ist. Kurz nachdem die "Keylogger-Warnung" kommt, fängt sich an die Umgebung aufzulösen.


Viele liebe Grüße
Kri

Poste bitte den Kaspersky Bericht.

Hier die Log der Programmkontrolle von heute morgen bis zum Herrunterfahren des Rechners:

Code: Alles auswählenAufklappen

ATTFilter

06.08.2009 08:12:43	Tastaturspionage	\DRIVER\SYNTP	Gefunden: Keylogger	
06.08.2009 08:16:04		Firewall	Aufgabe wurde gestartet	
06.08.2009 08:16:04		Aktivitätsfilterung	Aufgabe wurde gestartet	
06.08.2009 08:16:04		Proaktiver Schutz	Aufgabe wurde gestartet	
06.08.2009 08:17:37	Zugeordnet zu Gruppe	Vertrauenswürdig/ADOBE SYSTEMS		
06.08.2009 08:17:45	Zugeordnet zu Gruppe	Vertrauenswürdig		
06.08.2009 08:18:05	Löschen	C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll	Erlaubt: KLSystemData/KLSystemFiles/SystemDll	
06.08.2009 08:18:05	Löschen	C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe	Erlaubt: KLSystemData/KLSystemFiles/SystemExe	
06.08.2009 08:18:06	Löschen	C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe	Erlaubt: KLSystemData/KLProtected applications/	
06.08.2009 08:18:06	Löschen	C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe	Erlaubt: KLSystemData/KLSystemFiles/SystemExe	
06.08.2009 08:53:43	Zugeordnet zu Gruppe	Vertrauenswürdig/ADOBE SYSTEMS		
06.08.2009 08:57:23	Zugeordnet zu Gruppe	Vertrauenswürdig/MALWAREBYTES		
06.08.2009 08:57:24	Zugeordnet zu Gruppe	Schwache Beschränkungen		
06.08.2009 08:57:31	Erstellen	C:\WINDOWS\system32\drivers\mbam.sys	Erlaubt: KLSystemData/KLSystemFiles/Drivers	
06.08.2009 08:57:32		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Suspicious driver installation	
06.08.2009 08:57:36		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Suspicious driver installation	
06.08.2009 08:57:36		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Nicht beendet: Suspicious driver installation	
06.08.2009 08:57:38	Zuweisen von Debugger-Rechten		Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege	
06.08.2009 08:57:39	Herunterfahren des Systems		Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown	
06.08.2009 08:57:42	Löschen	C:\ProgZ\Malwarebytes' Anti-Malware\mbam.exe	Erlaubt: KLSystemData/KLProtected applications/	
06.08.2009 08:57:42	Erstellen	C:\ProgZ\Malwarebytes' Anti-Malware\mbam.exe	Erlaubt: KLSystemData/KLProtected applications/	
06.08.2009 08:57:43	Löschen	hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run	
06.08.2009 08:57:44	Löschen	C:\ProgZ\Malwarebytes' Anti-Malware\mbamgui.exe	Erlaubt: KLSystemData/KLProtected applications/	
06.08.2009 08:57:44	Erstellen	C:\ProgZ\Malwarebytes' Anti-Malware\mbamgui.exe	Erlaubt: KLSystemData/KLProtected applications/	
06.08.2009 08:57:45	Löschen	hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run	
06.08.2009 08:57:48	Ändern	hkey_users\S-1-5-21-343818398-1606980848-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders	Erlaubt: KLSystemData/KLStartupRegKeys/Common Startup	
06.08.2009 08:57:48	Ändern	hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders	Erlaubt: KLSystemData/KLStartupRegKeys/Common Startup	
06.08.2009 08:57:54	Ändern	hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce	Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run	
06.08.2009 08:57:54	Ändern	hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce	Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run	
06.08.2009 08:57:56		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:04		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:04		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Nicht beendet: Trojan.generic	
06.08.2009 08:58:04		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:05		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:05		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Nicht beendet: Trojan.generic	
06.08.2009 08:58:05		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:06		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:06		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Nicht beendet: Trojan.generic	
06.08.2009 08:58:06		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:06		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:06		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Nicht beendet: Trojan.generic	
06.08.2009 08:58:06		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:07		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:07		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Nicht beendet: Trojan.generic	
06.08.2009 08:58:07		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:08		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:08		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Nicht beendet: Trojan.generic	
06.08.2009 08:58:08		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:09		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:09		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Nicht beendet: Trojan.generic	
06.08.2009 08:58:09		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:09		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:09		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Nicht beendet: Trojan.generic	
06.08.2009 08:58:09		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:22		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Gefunden: Trojan.generic	
06.08.2009 08:58:22		C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP	Nicht beendet: Trojan.generic	
06.08.2009 08:58:22		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:22		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Gefunden: Trojan.generic	
06.08.2009 08:58:22		C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE	Nicht beendet: Trojan.generic	
06.08.2009 08:58:30	Zuweisen von Debugger-Rechten		Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege	
06.08.2009 08:58:34	Herunterfahren des Systems		Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown	
06.08.2009 08:58:38	Zuweisen von Debugger-Rechten		Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege	
06.08.2009 08:58:40	Herunterfahren des Systems		Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown
         

Ein Keylogger ist das imho nicht.

Erkläre bitte nocheinmal ganz genau was die Probleme sind die dein Rechner zeigt.

Meine ganze GUI fängt sich an aufzulösen, Leisten verschwinden, Buttons verschwinden, vorhin hat noch angefangen wie wild mein Browser auf und ab zu scrollen, und letztendlich lässt sich der Rechner noch noch durch drükken des Power-Buttons herunterfahren.
Nach dem Neustart ist dann wieder alles in Ordnung.

Das Problem tritt erst mindestens 24 Stunden Laufzeit ein.

Screenshot kann ich ja leider nicht machen.

EDIT: Manchmal kommen auch Fehlermeldungen ohne Text hinzu.

Hm, hast du mal die CPU Temperatur beobachtet? Evtl. steigt die zu stark an.

Ich hab endlich nach ewig langer Suche den Fehler gefunden, das Problem kam mit einem Update von Kaspersky selbst: http://forum.kaspersky.com/index.php?showtopic=66570

Ganz toll, wie die einen im Dunkeln tappen lassen, hätten ja wenigstens einen Hinweis bringen können, dass es zu derartigen Problemen kommen kann.

Ich danke dir trotzdem vielmals für deine Zeit und deine Geduld!