Hallo Zusammen,

vorher hatte bei mir Antivir einen Trojaner gemeldet und ich habe ihn über antivir gelöscht.
Mein Internet wurde langsamer und dann ist mein Rechner hängen geblieben.
Hab dann den Rechner ausgeschalten und neu gestartet und dann kam folgende
Fehlermeldung.
jusched.exe
Die Anwendung oder DLL C:/Windows/system32/digeste.dll ist keine gültige Windows Datei. Überprüfen Sie dies mit der Installationsdiskette.

Vielleicht erkennt ja jemand was anhnad meines Logfiles.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:49, on 14.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition

Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sony Ericsson\Mobile2\Application

Launcher\Application Launcher.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\Avira\AntiVir PersonalEdition

Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Teleca

Shared\CapabilityManager.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Avira\AntiVir PersonalEdition

Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame

Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone

Monitor\epmworker.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Security Task Manager\TaskMan.exe
C:\Programme\Gemeinsame

Dateien\Logitech\WebColct\WebColct.exe
d:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start

Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper -

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) -

{7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -

{DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl -

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer]

KHALMNPR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite]

"C:\Programme\Sony Ericsson\Mobile2\Application

Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AVMWlanClient]

C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [FreePDF Assistant]

C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched]

"C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk =

D:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PartyPoker.com -

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} -

E:\Games\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com -

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} -

E:\Games\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net -

{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} -

e:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy

zu unterstützen - {7A4C4242-0D42-42AF-904B-D08D5B5E893A}

- d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy

- {7A4C4242-0D42-42AF-904B-D08D5B5E893A} -

d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll
O10 - Unknown file in Winsock LSP: xfire_lsp_9996.dll
O15 - Trusted Zone: www.maxdome.1und1.de
O15 - Trusted Zone: www.maxxdome.de
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP

Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll

sockspy.dll sockspy.dll sockspy.dll sockspy.dll

sockspy.dll sockspy.dll sockspy.dll sockspy.dll

sockspy.dll sockspy.dll sockspy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer

(AntiVirScheduler) - Avira GmbH -

D:\Programme\Avira\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard

(AntiVirService) - Avira GmbH -

D:\Programme\Avira\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) -

Unknown owner - C:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Java Quick Starter

(JavaQuickStarterService) - Sun Microsystems, Inc. -

C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling

Service (LightScribeService) - Hewlett-Packard Company -

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) -

NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner -

C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner -

C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag)

- TuneUp Software GmbH -

C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7518 bytes

Hab mal die digeste.dll über Virustotal scannen lassen und folgendes Ergebnis

Datei digeste.dll empfangen 2009.03.14 16:42:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/39 (30.77%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 12.
Geschätzte Startzeit ist zwischen 108 und 154 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.14 -
AhnLab-V3 5.0.0.2 2009.03.13 -
AntiVir 7.9.0.114 2009.03.13 -
Authentium 5.1.0.4 2009.03.14 -
Avast 4.8.1335.0 2009.03.13 -
AVG 8.0.0.237 2009.03.14 -
BitDefender 7.2 2009.03.14 -
CAT-QuickHeal 10.00 2009.03.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.03.14 -
Comodo 1056 2009.03.14 -
DrWeb 4.44.0.09170 2009.03.14 -
eSafe 7.0.17.0 2009.03.12 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.13 -
F-Secure 8.0.14470.0 2009.03.14 Trojan.Win32.Agent2.fdh
Fortinet 3.117.0.0 2009.03.14 W32/Spam_Mailbot_h.B!tr
GData 19 2009.03.14 -
Ikarus T3.1.1.45.0 2009.03.14 -
K7AntiVirus 7.10.671 2009.03.14 -
Kaspersky 7.0.0.125 2009.03.14 Trojan.Win32.Agent2.fdh
McAfee 5552 2009.03.13 Spam-Mailbot.h.gen.b
McAfee+Artemis 5552 2009.03.13 Spam-Mailbot.h.gen.b
McAfee-GW-Edition 6.7.6 2009.03.13 -
Microsoft 1.4405 2009.03.14 TrojanDownloader:Win32/Bredolab.B
NOD32 3935 2009.03.13 a variant of Win32/Waledac.HL
Norman 6.00.06 2009.03.13 -
nProtect 2009.1.8.0 2009.03.14 -
Panda 10.0.0.10 2009.03.14 Trj/CI.A
PCTools 4.4.2.0 2009.03.14 -
Prevx1 V2 2009.03.14 High Risk Cloaked Malware
Rising 21.20.52.00 2009.03.14 -
Sophos 4.39.0 2009.03.14 -
Sunbelt 3.2.1858.2 2009.03.13 VIPRE.Suspicious
Symantec 1.4.4.12 2009.03.14 W32.Waledac
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.14 -
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.14 -
weitere Informationen
File size: 28672 bytes
MD5...: 309e9b717446446c36428f736b6c15b4
SHA1..: 71b8626b9d14bf830a494192afba35f0c2d46c07
SHA256: 46ddb90e29d9b179cbbf882606fa7bd5070f3b6e1cb42ab9aabf593520a375fa
SHA512: 3afbed13ce6b4a65b65361a33f95007be48740081ffaeec458210821e1f7fe41
8a3ae1a1aae18281f39bde7a9c2501f428a25db422b8f0dcbd20a8f2b38b8360
ssdeep: 384tnwa8ozZSYQccd6Pi8YWMyCaIKRuoj9UYkChQrqjgVjy2dLxwpGMME43V/:
epzscXYfGRnjiYDCvy2BxEtsh
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ef
timedatestamp.....: 0x375aca17 (Sun Jun 06 19:20:55 1999)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5c9d 0x4c00 7.87 5422b3a5a51e812aa31d76117c3472af
.data 0x7000 0x2a9f 0x2c00 5.58 b4e61102ebc882869f8d63431855ebff
.rsrc 0xa000 0x303 0x400 2.93 a11938b736aaec91ad8c2f2b1cbfc2d8

( 3 imports )
> USER32.dll: UnhookWinEvent, ResolveDesktopForWOW, PostThreadMessageW, ValidateRgn, CharUpperBuffA, InternalGetWindowText
> msvcrt.dll: labs, __setlc_active, _mbbtombc, _strnicmp, __mb_cur_max
> KERNEL32.dll: CreateFileMappingW, DeleteAtom, GetBinaryTypeA, ProcessIdToSessionId, GetCommandLineA, VirtualProtect, FindResourceExW, VerLanguageNameA, ExitThread

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=309e9b717446446c36428f736b6c15b4' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=309e9b717446446c36428f736b6c15b4</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=B49DE23D0062B3AA702E005D744B7000DA3E3F1A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=B49DE23D0062B3AA702E005D744B7000DA3E3F1A</a>

John übernimm du. Ich geh sowieso.

Hallo und

mich wundert die Bezeichnung von Prevx, hier nennen die den anders:
http://www.prevx.com/filenames/X1656...ESTE2EDLL.html

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Hi habe gerade mal Antivir durchlaufen lassen und folgendes Ergebnis

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\AhnLab\ASP\Smart Update i\update\autoup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.277064.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2fd520.qua' verschoben!

Ob das mit der jusched.exe zu tun hat weiß ich nicht.
Ich werde dan noch tralala.exe installieren und schauen was da rauskommt.

Danke schon mal für die schnelle hilfe

In welchem Ordner hast du digeste.dll gefunden?

ciao, andreas

hier das Ergebnis von tralala

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-14 17:26:01
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT BA6C220C ZwCreateThread
SSDT BA6C21F8 ZwOpenProcess
SSDT BA6C21FD ZwOpenThread
SSDT BA6C2207 ZwTerminateProcess
SSDT BA6C2202 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? Mup.sy Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Mup \Dfs
Device \FileSystem\Mup \Dfs
Device \FileSystem\Mup \Device\Mup
Device \FileSystem\Mup \Device\Mup
Device \FileSystem\Mup \Device\WinDfs\Root
Device \FileSystem\Mup \Device\WinDfs\Root

---- Threads - GMER 1.0.14 ----

Thread 4:108 8AF65800
Thread 4:112 8AF155E0
Thread 4:116 8AF15098
Thread 4:120 8AF62A40

---- Files - GMER 1.0.14 ----

File C:\WINDOWS\system32\drivers\llg4269.sys 22784 bytes <-- ROOTKIT !!!

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\System32\drivers\llg4269.sys [BOOT] eee202f <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

im system32 Ordner

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
llg4269
llg4269.sys
C:\WINDOWS\system32\drivers\llg4269.sys

Files to delete:
C:\WINDOWS\system32\drivers\llg4269.sys
C:\WINDOWS\system32\digeste.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

komisch war beim Neustart, das zweimal das Benutzer konte geladen wurde.


avenger report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "faaa253" found!
Could not open driver faaa253 for rootkit scan. Error:c0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\llg4269" not found!
Deletion of driver "llg4269" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\llg4269.sys" not found!
Deletion of driver "llg4269.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\C:\WINDOWS\system32\drivers\llg4269.sys" not found!
Deletion of driver "C:\WINDOWS\system32\drivers\llg4269.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\llg4269.sys" deleted successfully.
File "C:\WINDOWS\system32\digeste.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Gmer Log

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-14 18:01:11
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT BA69C2B4 ZwCreateThread
SSDT BA69C2A0 ZwOpenProcess
SSDT BA69C2A5 ZwOpenThread
SSDT BA69C2AF ZwTerminateProcess
SSDT BA69C2AA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? zeodc.sys Das System kann die angegebene Datei nicht finden. !
? sfdrv0 Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

Device \Driver\sfdrv01 \Device\sfdrv01
Device \Driver\sfdrv01 \Device\sfdrv01i

---- Threads - GMER 1.0.14 ----

Thread 4:112 8AF01800
Thread 4:116 8AF17870
Thread 4:120 8AF17328
Thread 4:124 8AEFEA40

---- EOF - GMER 1.0.14 ----

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

So habe alles erledigt und Combo fix hatte mich freundlicher weise noch darauf hingewiesen, das meine Wiederherstellungskonsole nicht installiert ist und habe es dann erst installiert.
so nun zu dem Ergebnis:

ComboFix 09-03-13.02 - Cervantes 2009-03-14 18:27:22.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Cervantes\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 17:25 . 2009-03-14 17:25 22,784 --a------ c:\windows\system32\drivers\aaa08d2.sys
2009-03-14 13:29 . 2009-03-14 13:29 22,784 --a------ c:\windows\system32\drivers\kdq2876.sys
2009-03-08 18:19 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-03-08 18:19 . 2009-03-14 18:30 212,881 --a------ c:\windows\system32\nvapps.xml
2009-03-08 18:19 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
2009-03-08 18:18 . 2009-03-08 18:18 <DIR> d-------- C:\NVIDIA
2009-03-08 18:18 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-08 18:03 . 2009-03-12 18:36 189,072 --a------ c:\windows\system32\PnkBstrB.xtr
2009-03-02 19:23 . 2009-03-02 19:23 0 --a------ c:\windows\mngui.INI
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\programme\HP
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2009-02-15 09:43 . 2009-02-15 09:43 <DIR> d-------- c:\windows\system32\URTTEMP
2009-02-15 09:41 . 2009-02-15 09:43 <DIR> d--h----- c:\programme\Avago-HP
2009-02-15 09:41 . 2008-04-28 06:14 284,160 --a------ c:\windows\system32\HP1006LM.DLL
2009-02-15 09:41 . 2008-02-20 23:44 65,536 --a------ c:\windows\system32\HPPLVS.dll
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-13 05:45 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\OpenOffice.org2
2009-03-12 17:20 138,920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys
2009-02-08 10:43 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\AdobeUM
2009-02-05 04:59 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 08:39 22,328 ----a-w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\PnkBstrK.sys
2007-09-27 18:14 14 ----a-w c:\dokumente und einstellungen\Cervantes\getfile.dat
2008-08-28 17:58 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 532480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source\\hl2.exe"=
"e:\\Programme\\Xfire\\ua_lsp_inst.exe"=
"e:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source beta\\hl2.exe"=
"d:\\Programme\\Winamp\\winamp.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"d:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"e:\\Valve\\Steam\\Steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Demos\\fear_mpdemo_en\\FEARMPDemo.exe"=
"e:\\New Folder\\Bin32\\Crysis.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"e:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009
"19020:TCP"= 19020:TCP:BitComet 19020 TCP
"19020:UDP"= 19020:UDP:BitComet 19020 UDP
"41444:TCP"= 41444:TCP:Azureus
"41444:UDP"= 41444:UDP:Azureus

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-06-08 264704]
S2 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2006-10-13 16384]
S3 kdq2876;kdq2876;c:\windows\system32\drivers\kdq2876.sys [2009-03-14 22784]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - BBB6D5C
*Deregistered* - bbb6d5c

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-23 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: xfire_lsp_9996.dll
Trusted Zone: 1und1.de\www.maxdome
Trusted Zone: ahnlab.com\global
Trusted Zone: maxxdome.de\www
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 18:30:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\cttda9e]
"ImagePath"="\SystemRoot\System32\drivers\aaa08d2.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(712)
c:\windows\system32\xfire_lsp_9996.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 18:32:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 17:32:05

Vor Suchlauf: 10 Verzeichnis(se), 20.755.087.360 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20,773,638,144 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

175 --- E O F --- 2009-03-11 08:44:14


Vielen Dank für diese professionelle Unterstützung :aplaus:

achso hatte ich vergessen, mein W-lan stick ist nicht mehr angeschlossen.

Bitte, gerne, es ist aber noch lange nicht ausgestanden.

Traust du dir zu mit regedit zu arbeiten?

Wer damit Software läd, ist selber schuld. Also deinstalliere das bitte.

Zitat:

"19020:TCP"= 19020:TCP:BitComet 19020 TCP
"19020:UDP"= 19020:UDP:BitComet 19020 UDP
"41444:TCP"= 41444:TCP:Azureus
"41444:UDP"= 41444:UDP:Azureus

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
kdq2876

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\cttda9e]

File::
c:\windows\system32\drivers\aaa08d2.sys
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Reader Speed Launch.lnk
c:\windows\system32\drivers\kdq2876.sys
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

ich probiers aus.

die 2 programme habe ich schon lange nicht mehr und habe nun demenstprechend die ports in der firewall geschlossen.