mehrere trojaner in system_volume_information

Maddin1976 · 24.02.2009, 15:58

Hallo zusammen.

Ich habe vor kurzem einen alten Rechner wieder flott gemacht und unteranderem auch das System neu aufgesetzt auf Laufwerk C: .Nun fand Antivir bei einem Systemmscan auf der 2.Festplatte Laufwerk D: in dem Ordner System_Volume_Information 26 Trojaner und noch einen Trojaner in einem anderen Ordner.Antivir verschob diese Dateien in die Quarantäne von wo aus ich sie dann gelöscht habe.Dann deaktivierte ich die Systemwiederherstellung und startete den Rechner neu.Der darauf folgende Virenscan fand dann keine Infizierungen mehr.Ich wollte nun mal mein HijackThis logfile hier reinstellen und fragen ob da noch was verdächtig ist und diese alten Trojaner sich auf das neu aufgesetzte System geschlichen haben.Danke im vorraus.

Logfile of HijackThis v1.99.1
Scan saved at 15:25:07, on 24.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DSL-Manager\DslMgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [u*l]h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab[/url]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [u*l]h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E7BB4EA-4703-4345-A1BF-6D5F3334A6C5}: NameServer = 192.168.2.1
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

und gleich noch der Report vom Virenscan damit ihr wisst welche Malware ich mir eingefangen habe.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 23. Februar 2009 14:41

Es wird nach 1258799 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SURFER

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 21.02.2009 17:00:29
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:00:29
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:00:29
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 17:00:29
ANTIVIR3.VDF : 7.1.2.59 9728 Bytes 21.02.2009 17:00:29
Engineversion : 8.2.0.87
AEVDF.DLL : 8.1.1.0 106868 Bytes 21.02.2009 17:00:29
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 21.02.2009 17:00:29
AESCN.DLL : 8.1.1.7 127347 Bytes 21.02.2009 17:00:29
AERDL.DLL : 8.1.1.3 438645 Bytes 21.02.2009 17:00:29
AEPACK.DLL : 8.1.3.8 397684 Bytes 21.02.2009 17:00:29
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21.02.2009 17:00:29
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 21.02.2009 17:00:29
AEHELP.DLL : 8.1.2.0 119159 Bytes 21.02.2009 17:00:29
AEGEN.DLL : 8.1.1.20 336245 Bytes 21.02.2009 17:00:29
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 21.02.2009 17:00:29
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 21.02.2009 17:00:29
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Montag, 23. Februar 2009 14:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'delttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten und Studio>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Daten\software\w*w.torrent.to...WinRAR.v3.71\WinRAR 3.xx Patch.rar
[0] Archivtyp: RAR
--> WinRAR 3.xx Patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.278016.C
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a10ade3.qua' verschoben!
D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP45\A0150179.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ade5.qua' verschoben!
D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP45\A0150184.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ade8.qua' verschoben!
D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP45\A0150198.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3adf0.qua' verschoben!
D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP46\A0152151.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ae3f.qua' verschoben!
D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP46\A0152153.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ae44.qua' verschoben!
D:\System Volume Information\_restore{264FD519-FAE4-42C0-8C82-B0A39F2D5B23}\RP46\A0152161.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3ae47.qua' verschoben!
D:\System Volume Information\_restore{43DD8C90-A04D-42CC-9515-49284ABF8D73}\RP252\A0032422.exe
[FUND] Ist das Trojanische Pferd TR/Small.24064.C
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2ae5d.qua' verschoben!
D:\System Volume Information\_restore{4D18E1A9-F1C7-43CB-8A39-01AEC1728CE5}\RP67\A0015122.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.WK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2ae8c.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115909.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af11.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115910.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af15.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115931.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af25.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115958.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af29.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115959.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af2c.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115976.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af2f.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115987.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af39.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0115990.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af3d.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116002.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af42.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116024.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af51.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116025.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485197e2.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116052.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3af55.qua' verschoben!
D:\System Volume Information\_restore{5ECC4731-16D4-4504-B3E6-F20EB36A0836}\RP649\A0116055.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485197e6.qua' verschoben!
D:\System Volume Information\_restore{AC5B44C8-F182-412C-A1BC-3E36EB368DB6}\RP12\A0001170.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2af73.qua' verschoben!
D:\System Volume Information\_restore{AC5B44C8-F182-412C-A1BC-3E36EB368DB6}\RP12\A0001173.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2af74.qua' verschoben!
D:\System Volume Information\_restore{FBD6D4B6-747A-4735-97FC-D2134BB68681}\RP18\A0001630.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2afa7.qua' verschoben!
D:\System Volume Information\_restore{FBD6D4B6-747A-4735-97FC-D2134BB68681}\RP18\A0001631.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2afa8.qua' verschoben!
D:\System Volume Information\_restore{FBD6D4B6-747A-4735-97FC-D2134BB68681}\RP18\A0001632.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48509719.qua' verschoben!

Ende des Suchlaufs: Montag, 23. Februar 2009 15:15
Benötigte Zeit: 34:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3647 Verzeichnisse wurden überprüft
174196 Dateien wurden geprüft
27 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
27 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
174166 Dateien ohne Befall
2102 Archive wurden durchsucht
3 Warnungen
27 Hinweise

ps.: auch im abgesicherten Modus findet Antivir nichts mehr ausser 3 Warnungen.

Jig Saw · 25.02.2009, 13:03

Hallo

Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HijackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deaktivieren der Systemwiederherstellung

Windows XP:

Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
Wähle den Reiter "Systemwiederherstellung"
Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
Jetzt den PC booten, der Start kann eine Weile dauern
Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Windows Vista:
Windows Vista Symbol anklicken
In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 3
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

CCleaner

Downloade CCleaner und speichere die Datei auf dem Desktop
Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
Das angegebene Zielverzeichnis mit "weiter >" bestätigen
Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
Mit Doppelklick CCleaner öffnen
Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
"Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
Diese Prozedur bei jedem Benutzerkonto durchführen
Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

[CENTER][B][COLOR="Red"]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 4
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 5
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 6
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Konfiguriere die Ordneransicht vernünftig um => Ordneransicht

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 7
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Nun kannst du Avira noch einmal scannen lassen, davor updaten.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 8
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Gmer

Donwloade Gmer
Entpacke es auf dem Desktop
Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
Schließe bitte alle Anwendungen, auch das Antivirusprogramm
Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
Beende GMER mit "OK"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 9
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wenn ich dich bitte einen HijackThis Log zuerstellen bitte die neuste Version nehmen

Maddin1976 · 25.02.2009, 14:49

Na dann werde ich mich mal an die Arbeit machen..Melde mich mit aktuellem Hijackthisfile und hoffentlich sauberem Gmerfile.Danke für die Antwort.

Jig Saw · 25.02.2009, 14:50

du solltest alles durcharbeiten und dann den GMER Logfile posten, erstmal nach Rootkits gucken

Maddin1976 · 25.02.2009, 15:45

Einen Rootkit fand ja Antivir schon und den hab ich gelöscht.Na mal schauen.Hier die Dokumentationen der von dir empfohlenen Programme :

Ccleaner :

Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9 - Deutsch
Anno 1701
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
ATI HYDRAVISION
Audacity 1.2.6
Avira AntiVir Personal - Free Antivirus
BitComet 1.08
Call of Duty(R) 2
CCleaner (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
DSL-Manager
eMule
EPSON-Drucker-Software
Hamachi 1.0.3.0
HijackThis 1.99.1
HLSW v1.3.1
ICQ6.5
Java 2 Runtime Environment, SE v1.4.2_05
Java SATARaid
Malwarebytes' Anti-Malware
Microsoft .NET Framework Client Profile
Microsoft .NET Framework Client Profile Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.6)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB954430)
NVIDIA Drivers
NVIDIA Ethernet Driver
Razer
TeamSpeak 2 RC2
TeamSpeak 2 Server RC2
TuneUp Utilities 2008
Uniblue DriverScanner 2009
Uniblue RegistryBooster 2
Uniblue SpeedUpMyPC 2009
VLC media player 0.9.6
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR Archivierer

Gmer :

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-02-25 15:39:03
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF75250D0]
SSDT F7C1513C ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF752AFB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF752B340]
SSDT sptd.sys ZwOpenKey [0xF75250B0]
SSDT F7C15128 ZwOpenProcess
SSDT F7C1512D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF752B418]
SSDT sptd.sys ZwQueryValueKey [0xF752B298]
SSDT sptd.sys ZwSetValueKey [0xF752B4AA]
SSDT F7C15137 ZwTerminateProcess
SSDT F7C15132 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F6E638AC 5 Bytes JMP 86B02770
? System32\Drivers\apcfczdz.SYS Das System kann die angegebene Datei nicht finden. !
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 EE01A4F0 42 Bytes [ AA, 30, C8, 33, 4C, 25, 9D, ... ]
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 2B EE01A51B 5 Bytes CALL FB0DFC15
? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F753C06C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F753C018] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F755E9AE] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F753C06C] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7525AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7525C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7525B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7526748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F752661E] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86F641E8

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

Device \Driver\usbohci \Device\USBPDO-0 86B05790
Device \Driver\usbohci \Device\USBPDO-1 86B05790
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD21E8
Device \Driver\dmio \Device\DmControl\DmConfig 86FD21E8
Device \Driver\dmio \Device\DmControl\DmPnP 86FD21E8
Device \Driver\dmio \Device\DmControl\DmInfo 86FD21E8
Device \Driver\usbehci \Device\USBPDO-2 86B04790
Device \Driver\Ftdisk \Device\HarddiskVolume1 86F671E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86F671E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 869EC1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9E7BB4EA-4703-4345-A1BF-6D5F3334A6C5} 869EC1E8
Device \Driver\NetBT \Device\NetbiosSmb 869EC1E8
Device \Driver\PCI_NTPNP9622 \Device\0000004d sptd.sys
Device \Driver\PCI_NTPNP9622 \Device\0000004e sptd.sys
Device \Driver\usbohci \Device\USBFDO-0 86B05790
Device \Driver\usbohci \Device\USBFDO-1 86B05790
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 869B6500
Device \Driver\usbehci \Device\USBFDO-2 86B04790
Device \FileSystem\MRxSmb \Device\LanmanRedirector 869B6500
Device \Driver\Ftdisk \Device\FtControl 86F671E8
Device \Driver\apcfczdz \Device\Scsi\apcfczdz1Port2Path0Target1Lun0 869A8790
Device \Driver\apcfczdz \Device\Scsi\apcfczdz1 869A8790
Device \Driver\SI3112r \Device\Scsi\SI3112r1 86F651E8
Device \Driver\apcfczdz \Device\Scsi\apcfczdz1Port2Path0Target0Lun0 869A8790
Device \Driver\dtscsi \Device\Scsi\dtscsi1 86A431E8
Device \FileSystem\Cdfs \Cdfs 86ACF700

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1928722195
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1943992332
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x35 0xE7 0xFB 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x1F 0xEE 0xFC 0xAA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x72 0xF1 0x0B 0xCC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x83 0x17 0x21 0x16 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x57 0x8D 0xB8 0x4D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x55 0x05 0x92 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x93 0xC0 0x87 0xE3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x93 0xC0 0x87 0xE3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5F 0x4D 0x67 0x53 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x05 0xA2 0xDB 0x3C ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x85 0x62 0xFE 0xC8 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x35 0xE7 0xFB 0x2A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x1F 0xEE 0xFC 0xAA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x72 0xF1 0x0B 0xCC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0x83 0x17 0x21 0x16 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x57 0x8D 0xB8 0x4D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x65 0x55 0x05 0x92 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x93 0xC0 0x87 0xE3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x93 0xC0 0x87 0xE3 ...

---- EOF - GMER 1.0.14 ----

Jig Saw · 25.02.2009, 15:56

lade zur Sicherheit diese Dateien bei Virustotal hoch, poste dann alles was dir angezeigt wird:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\sptd.sys
System32\Drivers\apcfczdz.SYS
C:\WINDOWS\System32\Drivers\dtscsi.sys

Wenn du bei eMule saugst ist es auch kein Wunder, dass du dir was einfängst.
HiJackThis ist veraltet, deinstallieren und das neuste isntallieren.
Hamachi ist auch veraltet.
nach der Bereinigung alles aktualisieren.
Java bitte deinstallieren und das neuste installieren Download der Java-Software von Sun Microsystems

Malwarebytes' Anti-Malware

Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
Installiere Anti-Malware unter dem vorgegebenen Pfad
Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
Klicke alle Laufwerke an => drücke "Scan starten"
Lasse alle Funde löschen!

SUPERAntiSpyware
[img=http://img60.imageshack.us/img60/8849/superantispyware11pu3.th.gif]
- Downloade SASW >>hier<<
- Installiere das SUPERAntiSpyware für alle Benutzer mit den vorgegebenen Installationseinstellungen
- Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
- Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
- Wähle nun den Reiter "Scanning Control" und setze Haken bei:
- Close browseres before scanning
- Scan for tracking cookies
- Resolve Links/Shortcuts during scan (.Ink)
- Scan Alternate Data Streams
- Use Kernel Direct File Access (recommended)
- Use Kernel Direct Registry Access (recommended)
- Use Direct Disk Access (recommended)
- Display scan option in Explorer context (right-click) menu
- Starte nun im abgesichertem Modus SASW
- Klicke im Hauptmenü den Button "Scan your Computer..."
- Wähle in der Scan Location alle Festplatten und externe Datenträger aus
- Klicke auf "Perform Complete Scan" und gehe auf "weiter"
- Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
- Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
- Poste nun das Log
dann einen neuen HijackThis Log
Poste anschließend das enstandene Logfile

Maddin1976 · 25.02.2009, 16:21

emule is ganz selten mal an.

.virustotal.com/de scheint nicht zu funktionieren.gibt es alternativen?

Maddin1976 · 25.02.2009, 16:39

bekomme bei virustotal ständig diese meldung :

"0 bytes size received / Se ha recibido un archivo vacio"

was hat das zu bedeuten?die serverauslastung ist im grünen bereich.

und die datei c:\windows\system32\apcfczdz.sys kann ich auf meinem rechner gar nicht finden.

Jig Saw · 25.02.2009, 17:08

Konfiguriere die Ordneransicht vernünftig um => Ordneransicht

Bei Jotti dürfte es auch nicht funktionieren, aber versuchen kann mans mal
Online Malware scan

wenn das auch nicht klappt dann mach hier weiter:

Avira AntiRootkit Tool

Downloade Avira AntiRootkit Tool von >>hier<< oder >>hier<< und speichere es auf dem Desktop
Entpacke und installiere es
Start => Avira RootKit Detection
Versichere, dich dass alle Kästchen einen Hacken haben außer "Fast Scan"
Schließe nun alle Programme auch dein AV-Prog und trenne dich physikalisch von der Internet Verbindung
Falls Rootkits gefunden wurden klicke auf "Quarantine all" danach 2 mal "OK"
Klicke auf View report und kopiere den gesamten Text und speichere den gesamten Text als eine Textdatei
Boote den PC neu und danach noch einmal einen Scan durchführen
den report jetzt posten

Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

und dann mit Malwarebytes und SUPERAntiSpyware weiter

Maddin1976 · 27.02.2009, 17:14

hab ihn jetzt doch platt gemacht..trotzdem danke für die vielen nützlichen informationen..werde sie in zukunft anzuwenden wissen..

25.02.2009, 14:50	#4
Jig Saw /// Helfer-Team	mehrere trojaner in system_volume_information du solltest alles durcharbeiten und dann den GMER Logfile posten, erstmal nach Rootkits gucken __________________ A fool with a tool is still a fool

mehrere trojaner in system_volume_information

Log-Analyse und Auswertung: mehrere trojaner in system_volume_information