Vista Gadget bringt Trojaner, unlöschbar

b2k007 · 21.04.2009, 14:46

Hallo liebe Experten,

habe seit gestern folgendes Problem!!!
http://picfront.de/d/pXGMfYSxm/vrs.jpg

Und dieses Fenster von AntiVir kommt alle 10min und es öffnen sich 5 Fenster gleichzeitig!
Hab auf löschen immer geklickt, aber es wurde nicht gelöscht, da es alle ver***** 10min kommt. Habe auch in dem Verzeichnis wo es "ist" geschaut, doch dort ist nichts.

Noch zu erwähnen ist das es nachdem ich ein Gadget installiert aufgetreten ist und das von der Seite gallery.live.com. Nach der Installation dieses gadgets ist es gleube ich aufgetreten: Windows Live Gallery

Hoffentlich könnt ihr mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:46, on 21.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\taskeng.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9c1bf7cdfca0c) (gupdate1c9c1bf7cdfca0c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: lxcz_device - - C:\Windows\system32\lxczcoms.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 4090 bytes

DJ-D · 21.04.2009, 14:51

Hallo und

,

1.) bitte hole die Datei nochmal aus der Quarantäne, und erstelle sie auf dem Desktop!
DIE DATEI NICHT ÖFFNEN

Dann lade sie auf VirusTotal - Free Online Virus and Malware Scan hoch.

Lass sie überprüfen und schicke uns danach die Ergebnisse. (mit Größen und Prüfsummen).

2.) Schalte dann Deine Systemwiederherstellung aus. -> Start => systemsteuerung => System => Systemwiederherstellung => "Systemwiederherstellung auf allen Laufwerken deaktivieren" haken setzen => Übernehmen => OK

Warte dann auf weitere Anweisungen.

b2k007 · 21.04.2009, 15:08

Wo ist denn die Quarantäne?

Sry, aber ich habe überhaupt keine ahnung davon.

und danke für den Willkommensgruß

DJ-D · 21.04.2009, 15:15

Öffne Avira und dann unter "Administration".

Zumindest ist das bei mir so.

Angel21 · 21.04.2009, 15:24

Hallo,

arbeite mal diese Anleitung durch.
Hier zu finden unter Punkt 2: http://www.trojaner-board.de/69886-a...-beachten.html

Quarantäne in Avira finden:
1. Doppelklicken auf das Avira Symbol.
2. Links auf "Verwaltung" Drop Down Menü öffnet sich.
3. Auf "Quarantäne" gehen.
4. Oben auf dem Mülleimer gehen mit dem Blatt Papier vorne dran, steht bei der Mausanzeige "ausgewähltes Objekt wiederherstellen nach..."

DJ-D · 21.04.2009, 15:25

Achso, danke Angel.

Ich glaube damit willste auch übernehmen oder?

(Hab nix dagegen.

)

Angel21 · 21.04.2009, 15:27

Wie sagte mal ein Großmeister? "Watch and learn"

DJ-D · 21.04.2009, 15:29

Und daran halte ich mich auch.

Nur es antwortete keiner, da... Wollte ich eben helfen.

b2k007 · 21.04.2009, 16:58

Das Prog. speichert es nicht oder es es ist TOTAL unsichtbar(Alle Dateien...anzeigen, ist angehackt)

hab mal Screenshot gemacht:
[AntiVir Quarantäne]

aber ich hab seitdem ich hier das letzte mal gepostet habe, keine Virenmeldungen mehr!

Angel21 · 21.04.2009, 17:03

Poste die Avira Logs der letzten 7 Tage bitte hier rein.

Setze GMER ein: GMER - Rootkit Detector and Remover - Files

Poste das Logfile bitte hier.

b2k007 · 22.04.2009, 18:31

Habe die Avira logs nicht gefunden. Wo sind die denn? Sind es die Ereignisse?
Manchmal kommen bei mir, wenn ich auf Google Ergebnis klicke, später youporn seiten youtubxxx oder so. Obwohl es eine andere Seite öffnen müsste und Seiten die 1000 Fenster mit OK Abrechen öffnen usw...

(Und mein Internet schmiert immer ab! <--das könnte etwas mit meiner Internetverbindung zusammhängen, aber muss nicht

)

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-22 19:27:13
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.15 ----

INT 0x52 ? 85311F00
INT 0x52 ? 85311F00
INT 0x52 ? 85311F00
INT 0x52 ? 85311F00
INT 0x81 ? 845D1BF8
INT 0x82 ? 845D2BF8
INT 0x92 ? 845D2BF8
INT 0xA2 ? 845D2BF8
INT 0xA2 ? 845D2BF8
INT 0xA2 ? 845D2BF8
INT 0xB2 ? 845D2BF8
INT 0xB2 ? 845D2BF8
INT 0xB2 ? 845D2BF8

Code 855FA2C0 ZwEnumerateKey
Code 8575D4B0 ZwFlushInstructionCache
Code 8574E535 IofCallDriver
Code 857602BE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCompleteRequest 8167AFE2 5 Bytes JMP 857602C3
.text ntkrnlpa.exe!IofCallDriver 816FCF6F 5 Bytes JMP 8574E53A
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 817F330B 5 Bytes JMP 8575D4B4
PAGE ntkrnlpa.exe!ZwEnumerateKey 81848BA2 5 Bytes JMP 855FA2C4
? System32\Drivers\sppb.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 8BDAB46F 5 Bytes JMP 853114E0

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806106D2] \SystemRoot\System32\Drivers\sppb.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80610040] \SystemRoot\System32\Drivers\sppb.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [806107FC] \SystemRoot\System32\Drivers\sppb.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806100BE] \SystemRoot\System32\Drivers\sppb.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8061013C] \SystemRoot\System32\Drivers\sppb.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 845D71F8
Device \Driver\volmgr \Device\VolMgrControl 845D41F8
Device \Driver\usbohci \Device\USBPDO-0 852A71F8
Device \Driver\usbohci \Device\USBPDO-1 852A71F8
Device \Driver\usbehci \Device\USBPDO-2 853601F8
Device \Driver\sptd \Device\3723942578 sppb.sys
Device \Driver\PCI_PNP8828 \Device\00000048 sppb.sys
Device \Driver\volmgr \Device\HarddiskVolume1 845D41F8

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\cdrom \Device\CdRom0 853611F8
Device \Driver\cdrom \Device\CdRom1 853611F8
Device \Driver\netbt \Device\NetBT_Tcpip_{CE8B9276-E50D-4D5B-ADA4-E55C95B3B09F} 8550F500
Device \Driver\atapi \Device\Ide\IdePort0 845D61F8
Device \Driver\atapi \Device\Ide\IdePort1 845D61F8
Device \Driver\atapi \Device\Ide\IdePort2 845D61F8
Device \Driver\atapi \Device\Ide\IdePort3 845D61F8
Device \Driver\atapi \Device\Ide\IdePort4 845D61F8
Device \Driver\atapi \Device\Ide\IdePort5 845D61F8
Device \Driver\atapi \Device\Ide\IdeDeviceP5T1L0-b 845D61F8
Device \Driver\atapi \Device\Ide\IdeDeviceP5T0L0-a 845D61F8
Device \Driver\cdrom \Device\CdRom2 853611F8
Device \Driver\netbt \Device\NetBT_Tcpip_{1E8D987A-0475-46E1-87C2-0A5C9A2F9646} 8550F500
Device \Driver\cdrom \Device\CdRom3 853611F8
Device \Driver\netbt \Device\NetBt_Wins_Export 8550F500
Device \Driver\Smb \Device\NetbiosSmb 85AD51F8
Device \Driver\iScsiPrt \Device\RaidPort0 853AE1F8
Device \Driver\USBSTOR \Device\0000005d 85323500
Device \Driver\USBSTOR \Device\0000005e 85323500
Device \Driver\usbohci \Device\USBFDO-0 852A71F8
Device \Driver\usbohci \Device\USBFDO-1 852A71F8
Device \Driver\usbehci \Device\USBFDO-2 853601F8
Device \Driver\a7d67ve1 \Device\Scsi\a7d67ve11 853A91F8
Device \Driver\a7d67ve1 \Device\Scsi\a7d67ve11Port7Path0Target0Lun0 853A91F8
Device \FileSystem\cdfs \Cdfs 863B51F8

---- EOF - GMER 1.0.15 ----

b2k007 · 23.04.2009, 14:51

Hallo,

dieser Virus nervt ziemlich!!!

Ich werd immer woanders hingeleitet von Google!

Angel21 · 23.04.2009, 16:09

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

b2k007 · 24.04.2009, 15:24

ComboFix 09-04-24.01 - B2K 24.04.2009 16:10.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.49.1031.18.2046.1227 [GMT 2:00]
ausgeführt von:: c:\users\B2K\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys
c:\windows\system32\ovfsthddldiqwdlbwrgmwsmctjigucvxtstpun.dll
c:\windows\system32\ovfsthoqermctnarjyjolfgiyxjunavekvwvut.dat
c:\windows\system32\ovfsthqrfvbfcaxtajbbcioljbomuxihnfwtym.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq

((((((((((((((((((((((( Dateien erstellt von 2009-05-24 bis 2009-4-24 ))))))))))))))))))))))))))))))
.

2009-04-23 15:55 . 2009-04-23 16:13 -------- d-----w c:\users\B2K\AppData\Roaming\vlc
2009-04-23 15:55 . 2009-04-23 15:55 -------- d-----w c:\users\B2K\AppData\Roaming\dvdcss
2009-04-23 15:53 . 2009-04-23 15:53 -------- d-----w c:\program files\VideoLAN
2009-04-23 15:47 . 2009-04-23 15:47 -------- d-----w c:\program files\CCleaner
2009-04-22 15:53 . 2009-04-22 15:53 -------- dc-h--w c:\users\All Users\{7451F7D5-591C-4490-8D3B-C73A69A0E782}
2009-04-22 15:53 . 2009-04-22 15:53 -------- dc-h--w c:\programdata\{7451F7D5-591C-4490-8D3B-C73A69A0E782}
2009-04-22 15:31 . 2009-04-22 15:31 -------- dc-h--w c:\users\All Users\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
2009-04-22 15:31 . 2009-04-22 15:31 -------- dc-h--w c:\programdata\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
2009-04-21 15:37 . 2009-04-21 15:37 -------- d-----w c:\users\All Users\Messenger Plus!
2009-04-21 15:37 . 2009-04-21 15:37 -------- d-----w c:\programdata\Messenger Plus!
2009-04-21 13:34 . 2009-04-21 13:34 -------- d-----w c:\program files\Trend Micro
2009-04-21 12:05 . 2009-04-21 12:05 -------- d-----w c:\program files\Messenger Plus! Live
2009-04-20 17:09 . 2009-04-20 18:02 -------- d-----w C:\temp
2009-04-20 17:06 . 2009-04-20 17:12 173 ----a-w c:\windows\Lexstat.ini
2009-04-20 16:28 . 2009-04-20 16:29 -------- d-----w c:\program files\QuickTime
2009-04-20 16:28 . 2009-04-20 16:28 -------- d-----w c:\users\All Users\Apple Computer
2009-04-20 16:28 . 2009-04-20 16:28 -------- d-----w c:\programdata\Apple Computer
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\users\B2K\AppData\Local\Apple
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\program files\Apple Software Update
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\users\All Users\Apple
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\programdata\Apple
2009-04-20 14:50 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-20 14:50 . 2009-04-20 14:50 -------- d-----w c:\users\All Users\Avira
2009-04-20 14:50 . 2009-04-20 14:50 -------- d-----w c:\programdata\Avira
2009-04-20 14:50 . 2009-04-20 14:50 -------- d-----w c:\program files\Avira
2009-04-20 13:54 . 2009-04-20 13:54 -------- d-----w c:\users\B2K\AppData\Local\Google
2009-04-20 13:53 . 2009-04-20 13:55 -------- d-----w c:\program files\Google
2009-04-20 13:01 . 2009-04-20 13:01 -------- d-----w c:\program files\Lavalys
2009-04-20 12:55 . 2009-04-20 13:18 -------- d-----w c:\program files\NVIDIA Corporation
2009-04-20 12:51 . 2009-04-20 13:19 -------- d-----w c:\users\B2K\AppData\Roaming\Download Manager
2009-04-19 16:23 . 2009-04-19 16:23 -------- d-----w c:\users\All Users\KONAMI
2009-04-19 16:23 . 2009-04-19 16:23 -------- d-----w c:\programdata\KONAMI
2009-04-19 15:36 . 2003-01-07 00:22 15873 ----a-w c:\windows\system32\Inetde.dll
2009-04-19 15:36 . 2000-12-05 21:00 109248 ----a-w c:\windows\system32\Mswinsck.ocx
2009-04-19 15:36 . 2000-10-01 21:00 125712 ----a-w c:\windows\system32\vb6de.dll
2009-04-19 15:36 . 2000-05-22 13:58 115920 ----a-w c:\windows\system32\msinet.ocx
2009-04-19 15:36 . 2000-05-21 21:00 1066176 ----a-w c:\windows\system32\Mscomctl.ocx
2009-04-19 15:36 . 2000-04-03 17:06 16896 ----a-w c:\windows\system32\winskde.dll
2009-04-19 15:36 . 2000-04-03 17:05 118784 ----a-w c:\windows\system32\msstdfmt.dll
2009-04-19 15:36 . 1999-07-14 11:07 6656 ----a-w c:\windows\system32\stdftde.dll
2009-04-19 15:36 . 1998-07-05 21:00 22528 ----a-w c:\windows\system32\Tabctde.dll
2009-04-19 15:36 . 1998-07-05 21:00 158208 ----a-w c:\windows\system32\Mscmcde.dll
2009-04-19 15:36 . 1998-06-23 21:00 209192 ----a-w c:\windows\system32\Tabctl32.ocx
2009-04-19 15:36 . 2009-04-19 16:05 -------- d-----w c:\program files\Biet-O-Matic
2009-04-19 12:33 . 2009-04-19 12:33 -------- d-----w c:\users\B2K\AppData\Roaming\DivX
2009-04-19 12:18 . 2009-04-19 12:19 -------- d-----w c:\program files\Paint.NET
2009-04-19 12:18 . 2009-04-21 15:45 -------- d-----w c:\users\B2K\AppData\Local\Paint.NET
2009-04-18 23:35 . 2009-04-18 23:39 -------- d-----w c:\users\B2K\AppData\Local\Rockstar Games
2009-04-18 22:32 . 2009-04-18 22:32 107888 ----a-w c:\windows\system32\CmdLineExt.dll
2009-04-18 22:29 . 2009-04-19 00:28 -------- d-----w c:\program files\Microsoft Games for Windows - LIVE
2009-04-18 22:29 . 2009-04-18 22:29 -------- d-----w c:\windows\system32\xlive
2009-04-18 21:51 . 2009-04-18 21:52 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-18 20:42 . 2009-04-18 20:42 -------- d-----w c:\users\B2K\AppData\Roaming\DAEMON Tools Pro
2009-04-18 20:42 . 2009-04-18 20:42 -------- d-----w c:\users\B2K\AppData\Roaming\DAEMON Tools
2009-04-18 20:23 . 2009-04-18 20:23 -------- d-----w c:\users\All Users\DAEMON Tools Lite
2009-04-18 20:23 . 2009-04-18 20:23 -------- d-----w c:\programdata\DAEMON Tools Lite
2009-04-18 20:23 . 2009-04-18 20:23 -------- d-----w c:\program files\DAEMON Tools Lite
2009-04-18 20:17 . 2009-04-18 20:17 717296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-18 20:16 . 2009-04-18 21:51 -------- d-----w c:\users\B2K\AppData\Roaming\DAEMON Tools Lite
2009-04-18 18:54 . 2009-04-18 18:54 -------- d-----w c:\program files\Common Files\PX Storage Engine
2009-04-18 18:54 . 2009-04-18 18:54 -------- d-----w c:\program files\DivX
2009-04-18 18:54 . 2009-04-18 18:54 -------- d-----w c:\program files\Common Files\DivX Shared
2009-04-18 17:15 . 2008-06-20 01:14 97800 ----a-w c:\windows\system32\infocardapi.dll
2009-04-18 17:15 . 2008-06-20 01:14 105016 ----a-w c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-04-18 17:15 . 2008-06-20 01:14 43544 ----a-w c:\windows\system32\PresentationHostProxy.dll
2009-04-18 17:15 . 2008-06-20 01:14 37384 ----a-w c:\windows\system32\infocardcpl.cpl
2009-04-18 17:15 . 2008-06-20 01:14 11264 ----a-w c:\windows\system32\icardres.dll
2009-04-18 17:15 . 2008-06-20 01:14 622080 ----a-w c:\windows\system32\icardagt.exe
2009-04-18 17:15 . 2008-06-20 01:14 781344 ----a-w c:\windows\system32\PresentationNative_v0300.dll
2009-04-18 17:15 . 2008-06-20 01:14 326160 ----a-w c:\windows\system32\PresentationHost.exe
2009-04-18 17:02 . 2008-07-27 18:03 96760 ----a-w c:\windows\system32\dfshim.dll
2009-04-18 17:01 . 2008-07-27 18:03 282112 ----a-w c:\windows\system32\mscoree.dll
2009-04-18 17:01 . 2008-07-27 18:03 41984 ----a-w c:\windows\system32\netfxperf.dll
2009-04-18 17:01 . 2008-07-27 18:03 158720 ----a-w c:\windows\system32\mscorier.dll
2009-04-18 17:01 . 2008-07-27 18:03 83968 ----a-w c:\windows\system32\mscories.dll
2009-04-18 16:51 . 2009-04-24 12:57 -------- d-----w c:\users\B2K\Tracing
2009-04-18 16:51 . 2009-04-19 17:48 -------- d-----w c:\program files\Microsoft Silverlight
2009-04-18 16:50 . 2009-02-06 16:08 55280 ----a-w c:\windows\system32\drivers\fssfltr.sys
2009-04-18 16:50 . 2009-04-18 16:50 -------- dc----w c:\windows\system32\DRVSTORE
2009-04-18 16:49 . 2006-11-29 11:06 3426072 ----a-w c:\windows\system32\d3dx9_32.dll
2009-04-18 16:48 . 2009-04-18 16:48 -------- d-----w c:\program files\Microsoft SQL Server Compact Edition
2009-04-18 16:46 . 2009-04-18 16:46 -------- d-----w c:\program files\Microsoft
2009-04-18 16:45 . 2009-04-18 16:45 -------- d-----w c:\program files\Windows Live SkyDrive
2009-04-18 16:45 . 2009-04-18 16:50 -------- d-----w c:\program files\Windows Live
2009-04-18 16:45 . 2009-04-18 16:45 -------- d-----w c:\windows\PCHEALTH
2009-04-18 16:30 . 2009-04-18 16:30 -------- d-----w c:\program files\Common Files\Windows Live
2009-04-18 16:24 . 2009-04-18 16:24 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-04-18 16:24 . 2008-11-12 14:44 27904 ----a-w c:\windows\system32\uxtuneup.dll
2009-04-18 16:24 . 2008-11-12 14:44 17152 ----a-w c:\windows\system32\authuitu.dll
2009-04-18 16:24 . 2009-04-18 16:24 362240 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\users\B2K\AppData\Roaming\TuneUp Software
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\program files\TuneUp Utilities 2009
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\users\All Users\TuneUp Software
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\programdata\TuneUp Software
2009-04-18 16:23 . 2009-04-18 16:23 -------- d-sh--w c:\users\All Users\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-18 16:23 . 2009-04-18 16:23 -------- d-sh--w c:\programdata\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-18 16:12 . 2009-04-19 11:52 -------- d-----w c:\program files\JDownloader
2009-04-18 16:09 . 2009-04-18 16:08 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-18 16:08 . 2009-04-18 16:08 -------- d-----w c:\program files\Java
2009-04-18 15:59 . 2009-04-22 15:14 -------- d-----w C:\Spiele
2009-04-18 15:46 . 2009-04-18 15:46 -------- d-----r c:\windows\system32\config\systemprofile\Music
2009-04-18 15:42 . 2009-04-18 15:42 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-04-18 15:34 . 2009-04-18 14:42 -------- d-----w c:\windows\Panther
2009-04-18 15:34 . 2009-04-18 15:34 8192 --s-a-r C:\BOOTSECT.BAK
2009-04-18 15:34 . 2009-04-22 14:24 -------- d-sh--w C:\Boot
2009-04-18 15:34 . 2008-01-21 02:22 333203 --sha-r C:\bootmgr
2009-04-18 15:21 . 2009-03-03 04:40 827392 ----a-w c:\windows\system32\wininet.dll
2009-04-18 15:21 . 2009-03-03 03:01 389632 ----a-w c:\windows\system32\html.iec
2009-04-18 15:21 . 2009-03-03 02:28 26624 ----a-w c:\windows\system32\ieUnatt.exe
2009-04-18 15:21 . 2009-03-03 04:37 78336 ----a-w c:\windows\system32\ieencode.dll
2009-04-18 15:21 . 2009-03-03 02:27 1383424 ----a-w c:\windows\system32\mshtml.tlb
2009-04-18 15:20 . 2008-06-06 03:27 38912 ----a-w c:\windows\system32\xolehlp.dll
2009-04-18 15:20 . 2008-06-06 03:27 562176 ----a-w c:\windows\system32\msdtcprx.dll
2009-04-18 15:12 . 2009-04-18 15:12 -------- d-----w c:\users\All Users\NVIDIA
2009-04-18 15:12 . 2009-04-18 15:12 -------- d-----w c:\programdata\NVIDIA
2009-04-18 15:07 . 2007-10-19 02:42 3809 ----a-r c:\windows\Cmicnfg3.ini.cfg
2009-04-18 15:07 . 2007-09-19 09:06 241664 ----a-r c:\windows\system32\CmiInstallResAll.dll
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\users\B2K\AppData\Local\Mozilla
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\program files\AGEIA Technologies
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\windows\system32\AGEIA
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\windows\system32\Macromed
2009-04-18 15:05 . 2009-04-22 15:53 -------- d-sh--w c:\windows\Installer
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-04-18 15:05 . 2009-03-27 08:03 801312 ----a-w c:\windows\system32\nvcplui.exe
2009-04-18 15:05 . 2009-03-27 08:03 420384 ----a-w c:\windows\system32\nvcpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-24 14:15 . 2008-01-21 08:24 618204 ----a-w c:\windows\System32\perfh007.dat
2009-04-24 14:15 . 2008-01-21 08:24 122636 ----a-w c:\windows\System32\perfc007.dat
2009-04-20 17:06 . 2009-04-20 17:03 -------- d-----w c:\program files\Lexmark 1200 Series
2009-04-20 17:06 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstrng.dat
2009-04-20 17:06 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat
2009-04-20 17:05 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat
2009-04-19 02:33 . 2009-04-18 14:53 680 ----a-w c:\users\B2K\AppData\Local\d3d9caps.dat
2009-04-18 17:44 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Vorlagen
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Startmenü
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Favoriten
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Dokumente
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Anwendungsdaten
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\program files\Gemeinsame Dateien
2009-03-17 03:38 . 2009-04-18 15:19 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-18 15:19 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-18 15:19 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-11 13:57 . 2009-03-11 13:57 268288 ----a-w c:\windows\System32\schannel.dll
2009-03-11 13:56 . 2009-03-11 13:56 8147456 ----a-w c:\windows\System32\wmploc.DLL
2009-03-11 13:56 . 2009-03-11 13:56 7680 ----a-w c:\windows\System32\spwmp.dll
2009-03-11 13:56 . 2009-03-11 13:56 4096 ----a-w c:\windows\System32\dxmasf.dll
2009-03-11 13:54 . 2009-03-11 13:54 2033152 ----a-w c:\windows\System32\win32k.sys
2009-03-03 04:46 . 2009-04-18 15:19 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-18 15:19 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:39 . 2009-04-18 15:19 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-18 15:19 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-18 15:19 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-18 15:19 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-18 15:19 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-18 15:19 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-18 15:19 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-18 15:19 17408 ----a-w c:\windows\System32\iashost.exe
2009-02-24 19:34 . 2009-02-24 19:34 90112 ----a-w c:\windows\System32\dpl100.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\System32\divx_xx0c.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\System32\divx_xx07.dll
2009-02-24 19:34 . 2009-02-24 19:34 815104 ----a-w c:\windows\System32\divx_xx0a.dll
2009-02-24 19:34 . 2009-02-24 19:34 802816 ----a-w c:\windows\System32\divx_xx11.dll
2009-02-24 19:34 . 2009-02-24 19:34 684032 ----a-w c:\windows\System32\DivX.dll
2009-02-13 08:49 . 2009-04-18 15:19 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-18 15:19 1255936 ----a-w c:\windows\System32\lsasrv.dll
2009-02-12 20:57 . 2009-02-12 20:57 428544 ----a-w c:\windows\System32\EncDec.dll
2009-02-12 20:57 . 2009-02-12 20:57 293376 ----a-w c:\windows\System32\psisdecd.dll
2009-02-06 17:46 . 2009-02-06 17:46 308600 ----a-w c:\windows\WLXPGSS.SCR
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\System32\sirenacm.dll
2008-01-21 02:41 . 2006-11-02 12:49 174 --sha-w c:\program files\desktop.ini
2009-02-24 19:2009-02-24 19:34 34:32 . c:\program files\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:2009-02-24 19:34 34:32 . c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-04-09 21:47 . 2008-04-09 21:47 8192 --sha-w c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13687328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{9F098FFA-C561-46DF-B6DB-624CA8915B6E}c:\\program files\\java\\jre6\\bin\\javaw.exe"= UDP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{98F3EEC4-5FDE-4C93-A958-3490F903EA71}c:\\program files\\java\\jre6\\bin\\javaw.exe"= TCP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{BBB9537B-CF29-42DC-AA5B-DA868442E5B7}c:\\program files\\java\\jre6\\bin\\java.exe"= UDP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{1A80F509-7B34-4D35-A16C-3C5D89EBFA94}c:\\program files\\java\\jre6\\bin\\java.exe"= TCP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"{0D447080-5149-4B1B-8952-A5E80939BC00}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{5053BE85-0023-426A-8087-F1F8D8281036}"= UDP:c:\spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club
"{792C86BC-1B83-4493-A8B0-0DC4AB1E7241}"= TCP:c:\spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club
"{35473EE5-1C88-4656-BD87-E493CE2DA3EE}"= UDP:c:\spiele\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV
"{3185FD8F-5DCE-406B-BE4D-2B8715CA6DF0}"= TCP:c:\spiele\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV
"TCP Query User{D3FB0BC3-74AB-4676-A95A-98920674BFD7}c:\\spiele\\rockstar games\\grand theft auto iv\\gtaiv.exe"= UDP:c:\spiele\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV
"UDP Query User{163239DB-1ED4-4AB0-AC40-1B7B91D8178C}c:\\spiele\\rockstar games\\grand theft auto iv\\gtaiv.exe"= TCP:c:\spiele\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV
"TCP Query User{795BBADC-014C-41CF-B25A-1658D26FDDD6}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"UDP Query User{DB395186-EE5B-48E8-9851-459534B7F516}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"{8E199EC0-1289-4E46-9253-B8017E549B9D}"= UDP:c:\windows\System32\lxczcoms.exe:Lexmark Communications System
"{8B7E7C6D-020A-443F-AC83-23DFBD36759D}"= TCP:c:\windows\System32\lxczcoms.exe:Lexmark Communications System
"{467F4F59-7679-414E-A6CC-B7A0D100A4B5}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxczpswx.exe:Printer Status Window
"{DFCF4CCD-404D-4775-AC9C-B516E5C015F5}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxczpswx.exe:Printer Status Window

R2 gupdate1c9c1bf7cdfca0c;Google Update Service (gupdate1c9c1bf7cdfca0c);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-20 133104]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]
R3 fssfltr;fssfltr;c:\windows\system32\DRIVERS\fssfltr.sys [2009-02-06 55280]
R3 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-04-18 603904]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1103d094-2c29-11de-9934-00142a32799a}]
\shell\AutoRun\command - G:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-24 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 10:03]

2009-04-24 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-20 13:54]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmPCIaudio - CMICNFG3.cpl

.
------- Zusätzlicher Suchlauf -------
.
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
FF - ProfilePath - c:\users\B2K\AppData\Roaming\Mozilla\Firefox\Profiles\ls1gyzpy.default\
FF - prefs.js: browser.search.selectedEngine - qtl
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-24 16:18
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys 83968 bytes executable
c:\windows\system32\ovfsthevopymhjtbqxeuurnbntorehertwtxac.dll 61440 bytes executable
c:\windows\system32\ovfsthfusqcnexmpsemrbiamabissniiqoptcn.dat 1519 bytes
c:\windows\system32\ovfsthkludytjtpspqcvulswmhhxgwxaqlodxv.dll 17920 bytes executable
c:\windows\system32\ovfsthmqveqryptudwujcjwqfppglikyffwwtf.dat 43 bytes
c:\windows\system32\ovfsthohiqwbivxqsvqkjrvgytvrasoogchbkc.dll 19456 bytes executable
c:\windows\system32\ovfsthsnyinroqnwodkeupkfgcgfebltuabeev.dll 19456 bytes executable
c:\windows\system32\ovfsthtisopxqpqdvitpwgqevipamsfxsuqwiv.dll 17920 bytes executable
c:\users\B2K\AppData\Local\Temp\ovfsth000 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 9

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq]
"imagepath"="\systemroot\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys"
"inst"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\lxczcoms.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\windows\System32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-24 16:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-24 14:21

Vor Suchlauf: 16 Verzeichnis(se), 29.270.974.464 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 29.314.703.360 Bytes frei

314 --- E O F --- 2009-04-24 10:39

john.doe · 24.04.2009, 15:51

1.) Deinstalliere (falls möglich):

Google Update
TuneUp Utilities

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
TuneUp.ProgramStatisticsSvc
gupdate1c9c1bf7cdfca0c
ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq

NetSvc::
UxTuneUp

RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq]

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1103d094-2c29-11de-9934-00142a32799a}]

Folder::
c:\program files\Google\Update

File::
c:\windows\System32\perfh007.dat
c:\windows\System32\perfc007.dat
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys 
c:\windows\system32\ovfsthevopymhjtbqxeuurnbntorehertwtxac.dll
c:\windows\system32\ovfsthfusqcnexmpsemrbiamabissniiqoptcn.dat
c:\windows\system32\ovfsthkludytjtpspqcvulswmhhxgwxaqlodxv.dll
c:\windows\system32\ovfsthmqveqryptudwujcjwqfppglikyffwwtf.dat
c:\windows\system32\ovfsthohiqwbivxqsvqkjrvgytvrasoogchbkc.dll
c:\windows\system32\ovfsthsnyinroqnwodkeupkfgcgfebltuabeev.dll
c:\windows\system32\ovfsthtisopxqpqdvitpwgqevipamsfxsuqwiv.dll
c:\users\B2K\AppData\Local\Temp\ovfsth000

DirLook::
c:\windows\Panther

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Neues Gmer-Log posten.

4.) Malwarebytes laufen lassen und Log posten.

5.) SASW laufen lassen und Log posten.

ciao, andreas

Vista Gadget bringt Trojaner, unlöschbar

Log-Analyse und Auswertung: Vista Gadget bringt Trojaner, unlöschbar