Guten Tag liebe Forumgemeinde,

Ich wende mich hier mit letzter Kraft an euch, in der Hoffnung dieses Mistding, das meinen Computer jetzt schon seit knapp 3 Tagen befällt loszuwerden. Daher bitte ich um Hilfe.

Ich hab mir einen ganz schrecklich nervenden Wurm eingefangen, weiß mir einfach nicht mehr zu helfen und brauche Hilfe von einem Experten.
Jedesmal wenn ich über Google auf einen Link klicke oder auch auf diversen anderen Seite auf einen Link klicke, werd ich durch eine Addresse namens "google-redirect.com" auf eine andere Seite umgeleitet. Diese anderen Seiten sind vorallem "tebe.us" und "vse.cc". anfangs kam das nur ab und zu, mittlerweile ist es kaum noch möglich, die gewollte Seite zu erreichen. Es grenzte schon einen Kampf hier überhaupt in dieses Forum zu gelangen und diesen Beitrag zu schreiben. Dabei wird die Seite immer in einem neuen Tab geöffnet (natürlich Firefox).
Zuerst hab ich versucht den Wurm (oder was es auch sein mag) mittels SpyBot zu entfernen. SpyBot hat dies auch geschafft, jedoch war er innerhalb kürzester Zeit nach dem Entfernen wieder da.
Die infizierten Dateien, von denen alles ausgeht sind anscheinend "protect.dll" und "autochk.exe". SpyBot benannte mein Problem "Virtumonde.sdn". Auch ein Versuch im abgesicherten Modus schlug fehl.
Danach kam ichauf dieses Forum und befolgte eure Anweisungen. Zuerst hab ich CCleaner installiert und durchgeführt, wie es in der Anleitung stand. Danach hab ich auch Malwarebytes geladen und dieses Programm schien die ersten Erfolge zu verzeichnen. Der von Malwarebytes betitelte "Worm.Autorun", sowie "Trojan.Agent", auch in besagten Dateien "protect.dll" und "autochk.exe" (siehe Logfile), war für den Abend verschwunden und ich dachte ich hab es geschafft. Jedoch war er am nächsten Tag wieder da und das Problem ging wieder von vorne los. Malwarebytes kann den Wurm zwar für kurze Zeit entfernen, dieser regeneriert sich aber wieder innerhalb von ein paar Stunden.
Ich habs auch wieder im abgesicherten Modus versucht - erfolglos.
Von daher richte ich mich in meiner Verzweiflung an euch und ich hoffe ihr könnt mir helfen.

Im Anhang können sie die Logfiles von HijackThis und Malwarebytes finden.
Sollte ich irgendetwas vergessen haben, sagen sie bitte Bescheid, damit ich jenes nachreichen kann.

Danke schonmal im vorraus,

AbsurdMind

uninstall-list:
Ad-Aware 2007
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 9.1 - Deutsch
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe WinSoft Linguistics Plugin
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
AMD Processor Driver
Audacity 1.2.6
AutoIt v3.3.0.0
Avanquest update
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Connect
Dark Messiah
DivX Codec
DivX Web Player
Fallout 3
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
ICQ6
Java(TM) 6 Update 13
kuler
Last.fm 1.5.4.24567
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE Redistributable
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft User-Mode Driver Framework Feature Pack 1.0
Motorola Driver Installation 3.2.0
Motorola Phone Tools
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
neroxml
NVIDIA Drivers
OpenOffice.org 3.0
PDF Settings CS4
PPLive 1.9
QIP 2005 8090
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sina Web TV
SopCast 3.0.3
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4
TeamSpeak 2 RC2
TVUPlayer 2.4.5.1
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
UUSee ÍøÂçµçÊÓ [4.4.801.74]
VCRedistSetup
Veetle TV 0.9.14
VideoLAN VLC media player 0.8.6d
Winamp
Windows Communication Foundation
Windows Imaging Component
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Workflow Foundation
Windows XP Service Pack 3
WinRAR
Zattoo 3.3.1 Beta

Hi,


Fixen/Löschen mit Hijackthis


Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Zitat:

O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...

Erstelle danach bitte logs mit folgenden Programmen:

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

und

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

lg myrtille

Hey,

Ich habe genau ihre Anweisungen befolgt. Hier sind die Ergebnisse:

GMER Scan-Logfile:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-09 13:38:52
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

INT 0x62 ? 89DD0BF8
INT 0x73 ? 89BCAF00
INT 0x83 ? 89DD0BF8
INT 0x83 ? 89DD0BF8
INT 0x83 ? 89DD0BF8
INT 0xB4 ? 89BCAF00

Code 89AA60C8 ZwEnumerateKey
Code 89AE3398 ZwFlushInstructionCache
Code 89AA60FE IofCallDriver
Code 89CF214E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 89AA6103
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 89CF2153
? spnj.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload BA4278AC 5 Bytes JMP 89BCA4E0

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[3248] WS2_32.dll!send 71A14C27 6 Bytes PUSH 10003DB4; RET C:\WINDOWS\system32\autochk.dll (lib/ )
.text C:\Programme\Mozilla Firefox\firefox.exe[3248] WS2_32.dll!WSARecv 71A14CB5 6 Bytes PUSH 10003C07; RET C:\WINDOWS\system32\autochk.dll (lib/ )
.text C:\Programme\Mozilla Firefox\firefox.exe[3248] WS2_32.dll!recv 71A1676F 6 Bytes PUSH 10003C91; RET C:\WINDOWS\system32\autochk.dll (lib/ )
.text C:\Programme\Mozilla Firefox\firefox.exe[3248] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 10003D38; RET C:\WINDOWS\system32\autochk.dll (lib/ )

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spnj.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spnj.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spnj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spnj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spnj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spnj.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89DCF1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} 895921F8
Device \Driver\usbohci \Device\USBPDO-0 89BC81F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89D601F8
Device \Driver\dmio \Device\DmControl\DmConfig 89D601F8
Device \Driver\dmio \Device\DmControl\DmPnP 89D601F8
Device \Driver\dmio \Device\DmControl\DmInfo 89D601F8
Device \Driver\usbehci \Device\USBPDO-1 89BBC1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89DD11F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 895921F8
Device \Driver\PCI_PNP6334 \Device\0000004a spnj.sys
Device \Driver\NetBT \Device\NetbiosSmb 895921F8
Device \Driver\sptd \Device\3319115084 spnj.sys
Device \Driver\usbohci \Device\USBFDO-0 89BC81F8
Device \Driver\usbehci \Device\USBFDO-1 89BBC1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8955A1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8955A1F8
Device \Driver\Ftdisk \Device\FtControl 89DD11F8
Device \Driver\ar0axqji \Device\Scsi\ar0axqji1Port4Path0Target0Lun0 89A531F8
Device \Driver\ar0axqji \Device\Scsi\ar0axqji1 89A531F8
Device \FileSystem\Cdfs \Cdfs 89B4D1F8

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\ovfsthxxlkubsav.sys (*** hidden *** ) [SYSTEM] ovfsthxcsdviwwj <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj@imagepath \systemroot\system32\drivers\ovfsthxxlkubsav.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj@inst 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@ver icv210409
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@cid 01
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@bid 417083561-1960408961-682003330-839522115
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@aid 303350
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@sid 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@feed 0x22 0x64 0x78 0x36 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@cmddelay 28801
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main@logoffset 421769
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\ff
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\ff@extension \\?\C:\Programme\Mozilla Firefox\extensions\{79F16D22-FAC6-4656-9746-508FB71FAAC7}
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\ff@version 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\injector@iexplore.exe ovfsthxwi.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\injector@explorer.exe ovfsthxff.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks\0000000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks\0000000001@fn (null)
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks\0000000001@url http://122.224.5.189/~aakjhuwe87/files/lmn_setup.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks\0000000001@timeout 900
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks\0000000001@type 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\main\tasks\0000000001@count 10
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules@ovfsthx.sys \systemroot\system32\drivers\ovfsthxxlkubsav.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules@ovfsthx.dll \systemroot\system32\ovfsthxmbvewbgb.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules@ovfsthxlog.dat \systemroot\system32\ovfsthxfupmcoby.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules@ovfsthxwi.dll \systemroot\system32\ovfsthxosjodgqy.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules@ovfsthxff.dll \systemroot\system32\ovfsthxuuofyfbx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxcsdviwwj\modules@ovfsthx.dat \systemroot\system32\ovfsthxcxsjgcux.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8A 0xEF 0xD2 0xA7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB5 0x64 0xE2 0xF4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0x12 0x3E 0xC9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8A 0xEF 0xD2 0xA7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB5 0x64 0xE2 0xF4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x32 0x43 0x00 0x87 ...
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj@imagepath \systemroot\system32\drivers\ovfsthxxlkubsav.sys
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj@inst 0
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@ver icv210409
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@cid 01
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@bid 417083561-1960408961-682003330-839522115
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@aid 303350
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@sid 4
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@feed 0x22 0x64 0x78 0x36 ...
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@cmddelay 28801
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main@logoffset 417315
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\delete
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\ff
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\ff@extension \\?\C:\Programme\Mozilla Firefox\extensions\{79F16D22-FAC6-4656-9746-508FB71FAAC7}
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\ff@version 1
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\injector
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\injector@iexplore.exe ovfsthxwi.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\injector@explorer.exe ovfsthxff.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\main\tasks
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules@ovfsthx.sys \systemroot\system32\drivers\ovfsthxxlkubsav.sys
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules@ovfsthx.dll \systemroot\system32\ovfsthxmbvewbgb.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules@ovfsthxlog.dat \systemroot\system32\ovfsthxfupmcoby.dat
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules@ovfsthxwi.dll \systemroot\system32\ovfsthxosjodgqy.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules@ovfsthxff.dll \systemroot\system32\ovfsthxuuofyfbx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj\modules@ovfsthx.dat \systemroot\system32\ovfsthxcxsjgcux.dat
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8A 0xEF 0xD2 0xA7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB5 0x64 0xE2 0xF4 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0x12 0x3E 0xC9 ...

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\plugtmp\plugin- 871 bytes
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\plugtmp\plugin--1 1237 bytes
File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\plugtmp\plugin-xmlrpc.php 262 bytes
File C:\Avenger\ovfsthxuuofyfbx.dll_old 18432 bytes executable
File C:\WINDOWS\system32\drivers\ovfsthxxlkubsav.sys 81920 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\ovfsthxcxsjgcux.dat 43 bytes
File C:\WINDOWS\system32\ovfsthxfupmcoby.dat 422356 bytes
File C:\WINDOWS\system32\ovfsthxmbvewbgb.dll 60928 bytes executable
File C:\WINDOWS\system32\ovfsthxosjodgqy.dll 18944 bytes executable
File C:\WINDOWS\system32\ovfsthxuuofyfbx.dll 18432 bytes executable

---- EOF - GMER 1.0.15 ----


schonmal vielen dank für die Antwort und vorallem für die Mühe (sowas ist ja nicht selbstverständlich)

mfg,
AbsurdMind

PS: Ich musste meinen Beitrag splitten, da nicht alles in einen Beitrag passt (Maximalanzahl der Zeichen überschritten).

RSIT Logfiles:

info.txt logfile of random's system information tool 1.06 2009-05-09 12:43:48

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware 2007-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Anchor Service CS4-->MsiExec.exe /I{1618734A-3957-4ADD-8199-F973763109A8}
Adobe Bridge CS4-->MsiExec.exe /I{83877DB1-8B77-45BC-AB43-2BAC22E093E0}
Adobe CMaps CS4-->MsiExec.exe /I{94D398EB-D2FD-4FD1-B8C4-592635E8A191}
Adobe Color - Photoshop Specific CS4-->MsiExec.exe /I{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}
Adobe Color EU Recommended Settings CS4-->MsiExec.exe /I{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}
Adobe Color JA Extra Settings CS4-->MsiExec.exe /I{0D6013AB-A0C7-41DC-973C-E93129C9A29F}
Adobe Color NA Extra Settings CS4-->MsiExec.exe /I{098A2A49-7CF3-4F08-A38D-FB879117152A}
Adobe Color Video Profiles CS CS4-->MsiExec.exe /I{63C24A08-70F3-4C8E-B9FB-9F21A903801D}
Adobe CSI CS4-->MsiExec.exe /I{0F723FC1-7606-4867-866C-CE80AD292DAF}
Adobe Default Language CS4-->MsiExec.exe /I{C52E3EC1-048C-45E1-8D53-10B0C6509683}
Adobe ExtendScript Toolkit CS4-->MsiExec.exe /I{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}
Adobe Extension Manager CS4-->MsiExec.exe /I{054EFA56-2AC1-48F4-A883-0AB89874B972}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q
Adobe Fonts All-->MsiExec.exe /I{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}
Adobe Linguistics CS4-->MsiExec.exe /I{931AB7EA-3656-4BB7-864D-022B09E3DD67}
Adobe Output Module-->MsiExec.exe /I{BB4E33EC-8181-4685-96F7-8554293DEC6A}
Adobe PDF Library Files CS4-->MsiExec.exe /I{F93C84A6-0DC6-42AF-89FA-776F7C377353}
Adobe Photoshop CS4 Support-->MsiExec.exe /I{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}
Adobe Photoshop CS4-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\faf656ef605427ee2f42989c3ad31b8\Setup.exe --uninstall=1
Adobe Photoshop CS4-->MsiExec.exe /I{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}
Adobe Photoshop CS4-->MsiExec.exe /I{E4848436-0345-47E2-B648-8B522FCDA623}
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe Search for Help-->MsiExec.exe /I{F0E64E2E-3A60-40D8-A55D-92F6831875DA}
Adobe Service Manager Extension-->MsiExec.exe /I{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}
Adobe Setup-->MsiExec.exe /I{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23}
Adobe Type Support CS4-->MsiExec.exe /I{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}
Adobe Update Manager CS4-->MsiExec.exe /I{05308C4E-7285-4066-BAE3-6B50DA6ED755}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}
Adobe XMP Panels CS4-->MsiExec.exe /I{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}
AdobeColorCommonSetCMYK-->MsiExec.exe /I{68243FF8-83CA-466B-B2B8-9F99DA5479C4}
AdobeColorCommonSetRGB-->MsiExec.exe /I{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}
AMD Processor Driver-->C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe -runfromtemp -l0x0007 -removeonly
Audacity 1.2.6-->"C:\Programme\Audacity\unins000.exe"
AutoIt v3.3.0.0-->C:\Programme\AutoIt3\Uninstall.exe
Avanquest update-->"C:\Programme\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe" -runfromtemp -l0x0009 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Connect-->MsiExec.exe /I{B29AD377-CC12-490A-A480-1452337C618D}
Dark Messiah -->C:\Programme\InstallShield Installation Information\{A8E2EF8F-73EF-4DD8-BB38-31FCCAF50103}\setup.exe -runfromtemp -l0x0007 -removeonly
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Fallout 3-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x7 -removeonly
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
kuler-->MsiExec.exe /I{098727E1-775A-4450-B573-3F441F1CA243}
Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Motorola Driver Installation 3.2.0-->MsiExec.exe /I{D6A1E429-CCE1-4140-A615-710B806D12BA}
Motorola Phone Tools-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAD8CA9C-77C0-4663-B00B-A8D3B13C341B}\setup.exe" -l0x7 -removeonly
Mozilla Firefox (3.0.10)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
PDF Settings CS4-->MsiExec.exe /I{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}
Photoshop Camera Raw-->MsiExec.exe /I{CC75AB5C-2110-4A7F-AF52-708680D22FE8}
PPLive 1.9-->C:\Programme\PPLive\uninst.exe
QIP 2005 8090-->"C:\Programme\QIP\unins000.exe"
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sina Web TV-->C:\PROGRA~1\sina\SINAWE~1\305~1.0\UNWISE.EXE C:\PROGRA~1\sina\SINAWE~1\305~1.0\Install.LOG
SopCast 3.0.3-->C:\Programme\SopCast\uninst.exe
Spybot - Search & Destroy 1.4-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins001.exe"
Suite Shared Configuration CS4-->MsiExec.exe /I{842B4B72-9E8F-4962-B3C1-1C422A5C4434}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TVUPlayer 2.4.5.1-->C:\Programme\TVUPlayer\uninst.exe
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
UUSee ÍøÂçµçÊÓ [4.4.801.74]-->C:\Programme\uusee\uninst.exe
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Veetle TV 0.9.14-->C:\Programme\Veetle\UninstallVeetleTV.exe
VideoLAN VLC media player 0.8.6d-->C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
Zattoo 3.3.1 Beta-->C:\Programme\Zattoo\uninst.exe

=====HijackThis Backups=====

O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM') [2009-05-08]
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-05-08]
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user') [2009-05-08]
O4 - Startup: ChkDisk.lnk = ? [2009-05-08]
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-05-08]
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-05-09]
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM') [2009-05-09]
O4 - Startup: ChkDisk.lnk = ? [2009-05-09]
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user') [2009-05-09]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: Avira AntiVir PersonalEdition

======System event log======

Computer Name: *****PC
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Intelligenter Hintergrundübertragungsdienst" gesendet.

Record Number: 6781
Source Name: Service Control Manager
Time Written: 20090401123618.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: *****PC
Event Code: 7036
Message: Dienst "HTTP-SSL" befindet sich jetzt im Status "Ausgeführt".

Record Number: 6780
Source Name: Service Control Manager
Time Written: 20090401123131.000000+120
Event Type: Informationen
User:

Computer Name: *****PC
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "HTTP-SSL" gesendet.

Record Number: 6779
Source Name: Service Control Manager
Time Written: 20090401123131.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: *****PC
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 6778
Source Name: Service Control Manager
Time Written: 20090401123128.000000+120
Event Type: Informationen
User:

Computer Name: *****PC
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 6777
Source Name: Service Control Manager
Time Written: 20090401123122.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: *****PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20081122185238.000000+060
Event Type: Informationen
User:

Computer Name: *****PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20081122185235.000000+060
Event Type: Informationen
User:

Computer Name: *****PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20081122185130.000000+060
Event Type: Informationen
User:

Computer Name: *****PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20081122185106.000000+060
Event Type: Informationen
User:

Computer Name: *****PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20081122185105.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=4303
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

RSIT-Logfiles:

Logfile of random's system information tool 1.06 (written by random/random)
Run by **** at 2009-05-09 12:43:41
Microsoft Windows XP Professional Service Pack 3
System drive C: has 36 GB (24%) free of 153 GB
Total RAM: 2047 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:47, on 09.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\RSIT.exe
C:\Programme\HijackThis\****.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P43 "\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus DX3800 Series auf ALPHA_CENTAURI] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S55.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://www.tvucricket.com/player/vjocx-en.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{324A1893-9A14-4197-8BD9-D92792FC00CF}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{58684F28-5FF2-4ED7-8916-D84E15A7D17D}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{78D8D86F-7454-4536-BBC2-3CE40066544D}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D4913A3-3F18-4055-9FB6-99A66965E3FE}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E}: NameServer = 192.168.0.127
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7202 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-10-30 16269312]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-01-03 13508608]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-01-03 86016]
"AdobeCS4ServiceManager"=C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2008-08-14 611712]
"\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE [2005-02-08 98304]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"Automatisch EPSON Stylus DX3800 Series auf ALPHA_CENTAURI"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE [2005-02-08 98304]
"autochk"=C:\WINDOWS\system32\autochk.dll [2009-05-09 24064]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2008-08-08 490952]
"AdobeBridge"= []

C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart
ChkDisk.dll
ChkDisk.lnk - C:\WINDOWS\system32\rundll32.exe
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSetActiveDesktop"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Last.fm\LastFM.exe"="C:\Programme\Last.fm\LastFM.exe:*:Enabled:Last.fm"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\TVUPlayer\TVUPlayer.exe"="C:\Programme\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component"
"C:\Programme\BitTorrent\bittorrent.exe"="C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\Programme\SopCast\adv\SopAdver.exe"="C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\Programme\SopCast\SopCast.exe"="C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Programme\uusee\UUSeePlayer.exe"="C:\Programme\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer"
"C:\Programme\QIP\qip.exe"="C:\Programme\QIP\qip.exe:*isabled:Quiet Internet Pager"
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\PPMate\ppmate.exe"="C:\Programme\PPMate\ppmate.exe:*:Enabled:PPMate"
"C:\Programme\PPMate\ppmnet.exe"="C:\Programme\PPMate\ppmnet.exe:*:Enabled:PPMate"
"C:\Programme\PPMate\ppamnet.exe"="C:\Programme\PPMate\ppamnet.exe:*:Enabled:PPMate"
"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe"="C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4"
"C:\Programme\PPStream\PPStream.exe"="C:\Programme\PPStream\PPStream.exe:*:Enabled:PPSÍøÂçµçÊÓ"
"C:\Programme\PPStream\PPSAP.exe"="C:\Programme\PPStream\PPSAP.exe:*:Enabled:PPS ÍøÂç¼ÓËÙÆ÷"
"C:\Programme\PPLive\PPLive.exe"="C:\Programme\PPLive\PPLive.exe:*:Enabled:PPLive"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-05-08 20:18:37 ----D---- C:\rsit
2009-05-08 18:15:38 ----ASH---- C:\WINDOWS\system32\autochk.dll
2009-05-08 18:15:34 ----A---- C:\WINDOWS\system32\lmn_setup.exe
2009-05-07 21:08:54 ----D---- C:\Avenger
2009-05-07 20:29:35 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2009-05-07 20:29:31 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-07 20:29:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 20:27:09 ----D---- C:\Programme\CCleaner
2009-05-06 23:58:29 ----A---- C:\WINDOWS\wininit.ini
2009-05-06 23:33:05 ----D---- C:\Programme\HijackThis
2009-05-06 23:16:51 ----D---- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2009-05-05 21:10:37 ----D---- C:\WINDOWS\system32\PPLive
2009-05-05 21:07:10 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PPLive
2009-05-05 21:06:56 ----D---- C:\Programme\PPLive
2009-05-05 20:52:57 ----D---- C:\Programme\sina
2009-04-27 18:17:20 ----D---- C:\WINDOWS\system32\appmgmt
2009-04-27 18:17:18 ----SHD---- C:\Config.Msi
2009-04-27 16:59:39 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\ABBYY
2009-04-27 16:56:34 ----D---- C:\WINDOWS\ShellNew
2009-04-27 16:56:28 ----D---- C:\Programme\AutoIt3
2009-04-27 16:54:47 ----D---- C:\temp
2009-04-19 16:55:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-04-19 16:55:00 ----D---- C:\Programme\TVUPlayer
2009-04-15 11:21:43 ----HD---- C:\VJVod_Cache
2009-04-14 20:42:34 ----D---- C:\Programme\Veetle
2009-04-14 20:42:21 ----D---- C:\WINDOWS\system32\nagasoft

======List of files/folders modified in the last 1 months======

2009-05-09 12:43:16 ----D---- C:\WINDOWS\system32
2009-05-09 12:42:46 ----D---- C:\Programme\Mozilla Firefox
2009-05-09 12:42:25 ----D---- C:\WINDOWS\Temp
2009-05-09 12:41:35 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-08 20:19:58 ----D---- C:\WINDOWS\Prefetch
2009-05-08 20:17:36 ----D---- C:\WINDOWS
2009-05-08 19:00:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-08 18:00:10 ----D---- C:\WINDOWS\system32\drivers
2009-05-07 21:41:41 ----D---- C:\export
2009-05-07 20:37:06 ----D---- C:\WINDOWS\Minidump
2009-05-07 20:37:06 ----D---- C:\WINDOWS\Debug
2009-05-07 20:29:31 ----RD---- C:\Programme
2009-05-07 11:51:47 ----D---- C:\Programme\Spybot - Search & Destroy
2009-05-06 18:31:05 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\dvdcss
2009-05-06 11:43:01 ----D---- C:\WINDOWS\system32\CatRoot2
2009-04-29 00:53:14 ----D---- C:\Dokumente und Einstellungen
2009-04-28 14:40:19 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-04-27 18:17:20 ----SHD---- C:\WINDOWS\Installer
2009-04-27 18:17:20 ----SD---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Microsoft
2009-04-27 17:58:57 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Macromedia
2009-04-15 15:54:57 ----D---- C:\Programme\Warcraft III
2009-04-14 20:42:25 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-04-14 20:42:21 ----HD---- C:\WINDOWS\inf
2009-04-12 15:21:54 ----RD---- C:\Musik

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-02 43520]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-11-03 4394496]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-01-03 7077344]
R3 RT2500USB;ASUS USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2004-08-13 140544]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S3 ar0axqji;ar0axqji; C:\WINDOWS\system32\drivers\ar0axqji.sys []
S3 motmodem;Motorola USB CDC ACM Driver; C:\WINDOWS\system32\DRIVERS\motmodem.sys [2007-06-18 23680]
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter; C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-05-04 215040]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-23 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Ad-Aware 2007 Service; C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe [2008-01-04 587096]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-01-03 155716]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 vvdsvc;VJVodClientServices; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-12-16 655624]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

RootRepeal Logfile:

ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time: 2009/05/09 13:41
Program Version: Version 1.2.3.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: aujasnkj.sys
Image Path: C:\DOKUME~1\****\LOKALE~1\Temp\aujasnkj.sys
Address: 0xB6101000 Size: 81664 File Visible: No
Status: -

Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB7118000 Size: 98304 File Visible: No
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBADDE000 Size: 8192 File Visible: No
Status: -

Name: ovfsthxxlkubsav.sys
Image Path: C:\WINDOWS\system32\drivers\ovfsthxxlkubsav.sys
Address: 0xB732B000 Size: 94208 File Visible: -
Status: Hidden from Windows API!

Name: PCI_PNP6334
Image Path: \Driver\PCI_PNP6334
Address: 0x00000000 Size: 0 File Visible: No
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB621D000 Size: 45056 File Visible: No
Status: -

Name: spnj.sys
Image Path: spnj.sys
Address: 0xBA6A7000 Size: 1048576 File Visible: No
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No
Status: -

Hidden/Locked Files
-------------------
Path: C:\Avenger\ovfsthxuuofyfbx.dll_old
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthxcxsjgcux.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthxfupmcoby.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthxmbvewbgb.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthxosjodgqy.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\ovfsthxuuofyfbx.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\ovfsthxxlkubsav.sys
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\etilqs_anINGGWoSOnxtFpnCdec
Status: Allocation size mismatch (API: 32768, Raw: 0)

Path: C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl
Status: Allocation size mismatch (API: 8192, Raw: 4096)

Path: C:\Dokumente und Einstellungen\****\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\****\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ
Status: Locked to the Windows API!

Stealth Objects
-------------------
Object: Hidden Module [Name: ovfsthxmbvewbgb.dll]
Process: svchost.exe (PID: 980) Address: 0x10000000 Size: 73728

Object: Hidden Module [Name: ovfsthxuuofyfbx.dll]
Process: Explorer.EXE (PID: 1452) Address: 0x10000000 Size: 24576

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System Address: 0x89dcf1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System Address: 0x89bad1f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System Address: 0x89d601f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_CREATE]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_CLOSE]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_POWER]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: usbohci, IRP_MJ_PNP]
Process: System Address: 0x89bc81f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System Address: 0x89dd11f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_CREATE]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_CLOSE]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_POWER]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: ar0axqji؅౨瑎晦܂Èੈ, IRP_MJ_PNP]
Process: System Address: 0x89a531f8 Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System Address: 0x895921f8 Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System Address: 0x895921f8 Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x895921f8 Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x895921f8 Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System Address: 0x895921f8 Size: -

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System Address: 0x895921f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System Address: 0x89bbc1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System Address: 0x8955a1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_CREATE]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_CLOSE]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_READ]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_CLEANUP]
Process: System Address: 0x89b4d1f8 Size: -

Object: Hidden Code [Driver: Cdfs؅ఆ剒敬诀, IRP_MJ_PNP]
Process: System Address: 0x89b4d1f8 Size: -

Hidden Services
-------------------
Service Name: ovfsthxcsdviwwj
Image Path: C:\WINDOWS\system32\drivers\ovfsthxxlkubsav.sys

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
ovfsthxcsdviwwj
ar0axqji

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj

Folders to delete:
C:\Programme\Mozilla Firefox\extensions\{79F16D22-FAC6-4656-9746-508FB71FAAC7}

Files to delete:
C:\WINDOWS\System32\drivers\ovfsthxxlkubsav.sys
C:\WINDOWS\System32\ovfsthxmbvewbgb.dll
C:\WINDOWS\System32\ovfsthxfupmcoby.dat
C:\WINDOWS\System32\ovfsthxosjodgqy.dll
C:\WINDOWS\System32\ovfsthxuuofyfbx.dll
C:\WINDOWS\System32\ovfsthxcxsjgcux.dat
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\lmn_setup.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

3.) Lade die Datei backup.zip aus dem Ordner C:\Avenger bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN.

ciao, andreas

Hey, schonmal vielen Dank für die Antwort und die Hilfe.
Nachdem mein PC neu gestartet wurde, sind alle verseuchten Dateien im Ordner C:\Avenger aufgetaucht und Antivir schlug mächtig Alarm, ich hab jedesmal die Option "Zugriff verweigern" gewählt. Ich hoffe das ist richtig so.

edit1: Im Moment scheint alles sauber zu sein, es gibt zumindest momentan keine Probleme mit dem "google-redierect.com".

Hier die avenger.txt-Datei:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthxcsdviwwj" found!
ImagePath: \systemroot\system32\drivers\ovfsthxxlkubsav.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "ovfsthxcsdviwwj" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ar0axqji" not found!
Deletion of driver "ar0axqji" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet003\Services\ovfsthxcsdviwwj" deleted successfully.
Folder "C:\Programme\Mozilla Firefox\extensions\{79F16D22-FAC6-4656-9746-508FB71FAAC7}" deleted successfully.
File "C:\WINDOWS\System32\drivers\ovfsthxxlkubsav.sys" deleted successfully.
File "C:\WINDOWS\System32\ovfsthxmbvewbgb.dll" deleted successfully.
File "C:\WINDOWS\System32\ovfsthxfupmcoby.dat" deleted successfully.
File "C:\WINDOWS\System32\ovfsthxosjodgqy.dll" deleted successfully.
File "C:\WINDOWS\System32\ovfsthxuuofyfbx.dll" deleted successfully.
File "C:\WINDOWS\System32\ovfsthxcxsjgcux.dat" deleted successfully.
File "C:\WINDOWS\system32\autochk.dll" deleted successfully.
File "C:\WINDOWS\system32\lmn_setup.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

GMER-log:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-09 18:35:39
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT spgj.sys ZwCreateKey [0xBA6A80E0]
SSDT BAED0CA4 ZwCreateThread
SSDT spgj.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spgj.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT spgj.sys ZwOpenKey [0xBA6A80C0]
SSDT BAED0C90 ZwOpenProcess
SSDT BAED0C95 ZwOpenThread
SSDT spgj.sys ZwQueryKey [0xBA6C7108]
SSDT spgj.sys ZwQueryValueKey [0xBA6C6F88]
SSDT spgj.sys ZwSetValueKey [0xBA6C719A]
SSDT BAED0C9F ZwTerminateProcess
SSDT BAED0C9A ZwWriteVirtualMemory

INT 0x62 ? 89D74BF8
INT 0x73 ? 89BCBBF8
INT 0x83 ? 89D74BF8
INT 0x83 ? 89D74BF8
INT 0x83 ? 89D74BF8
INT 0xB4 ? 89BCBBF8

---- Kernel code sections - GMER 1.0.15 ----

? qubg.sys Das System kann die angegebene Datei nicht finden. !
? spgj.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B9E768AC 5 Bytes JMP 89BCB1D8
.text a6dthq5f.SYS B972B386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a6dthq5f.SYS B972B3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a6dthq5f.SYS B972B3C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a6dthq5f.SYS B972B3C9 1 Byte [2E]
.text a6dthq5f.SYS B972B3C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spgj.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spgj.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spgj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spgj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spgj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spgj.sys
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\a6dthq5f.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89D721F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} 89BA3500
Device \Driver\usbohci \Device\USBPDO-0 89BCA1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89D751F8
Device \Driver\dmio \Device\DmControl\DmConfig 89D751F8
Device \Driver\dmio \Device\DmControl\DmPnP 89D751F8
Device \Driver\dmio \Device\DmControl\DmInfo 89D751F8
Device \Driver\usbehci \Device\USBPDO-1 89BC91F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89D761F8
Device \Driver\Cdrom \Device\CdRom0 89BB11F8
Device \Driver\Cdrom \Device\CdRom1 89BB11F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89BA3500
Device \Driver\sptd \Device\2775455948 spgj.sys
Device \Driver\PCI_PNP7198 \Device\0000004b spgj.sys
Device \Driver\NetBT \Device\NetbiosSmb 89BA3500
Device \Driver\usbohci \Device\USBFDO-0 89BCA1F8
Device \Driver\usbehci \Device\USBFDO-1 89BC91F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 895CD1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 895CD1F8
Device \Driver\Ftdisk \Device\FtControl 89D761F8
Device \Driver\a6dthq5f \Device\Scsi\a6dthq5f1Port4Path0Target0Lun0 89ABA1F8
Device \Driver\a6dthq5f \Device\Scsi\a6dthq5f1 89ABA1F8
Device \FileSystem\Cdfs \Cdfs 8983A408

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8A 0xEF 0xD2 0xA7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB5 0x64 0xE2 0xF4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0x12 0x3E 0xC9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8A 0xEF 0xD2 0xA7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB5 0x64 0xE2 0xF4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x32 0x43 0x00 0x87 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8A 0xEF 0xD2 0xA7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB5 0x64 0xE2 0xF4 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0x12 0x3E 0xC9 ...

---- EOF - GMER 1.0.15 ----


vielen Dank,

AbsurdMind

1.) Deinstalliere:

• Ad-Aware 2007
• Spybot - Search & Destroy
• Spybot - Search & Destroy 1.4

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
         

=> Fix checked

3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hey,

Hier nun das Log von ComboFix:

ComboFix 09-05-08.03 - **** 09.05.2009 18:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1606 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\****\protect.dll
c:\dokumente und einstellungen\LocalService\protect.dll
c:\windows\system32\config\systemprofile\protect.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-09 bis 2009-05-09 ))))))))))))))))))))))))))))))
.

2009-05-08 18:18 . 2009-05-09 10:44 -------- d-----w C:\rsit
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-07 18:29 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-07 18:27 . 2009-05-07 18:27 -------- d-----w c:\programme\CCleaner
2009-05-05 19:10 . 2009-05-05 19:10 -------- d-----w c:\windows\system32\PPLive
2009-05-05 19:07 . 2009-05-05 19:07 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\PPLive
2009-05-05 19:06 . 2009-05-05 20:34 -------- d-----w c:\programme\PPLive
2009-05-05 18:52 . 2009-05-05 18:52 -------- d-----w c:\programme\sina
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\ABBYY
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\ABBYY
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\windows\ShellNew
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\programme\AutoIt3
2009-04-27 14:54 . 2009-04-28 10:55 -------- d-----w C:\temp
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\programme\TVUPlayer
2009-04-15 09:21 . 2009-04-15 09:21 -------- d--h--w C:\VJVod_Cache
2009-04-15 09:21 . 2009-04-15 09:21 -------- d-----w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\programme\Veetle
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\windows\system32\nagasoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 13:54 . 2008-12-26 12:43 -------- d-----w c:\programme\Warcraft III
2009-04-06 09:43 . 2008-11-29 13:53 -------- d-----w c:\programme\Java
2009-03-30 19:23 . 2001-08-23 10:00 78360 ----a-w c:\windows\system32\perfc007.dat
2009-03-30 19:23 . 2001-08-23 10:00 442770 ----a-w c:\windows\system32\perfh007.dat
2009-03-29 13:44 . 2008-12-15 17:44 -------- d-----w c:\programme\Motorola Phone Tools
2009-03-29 13:44 . 2008-11-22 19:09 -------- d-----w c:\programme\DivX
2009-03-29 13:44 . 2008-12-15 17:45 -------- d-----w c:\programme\Avanquest update
2009-03-27 20:10 . 2008-11-22 19:19 -------- d-----w c:\programme\Last.fm
2009-03-25 19:40 . 2008-12-04 20:13 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 17:47 . 2009-03-16 17:47 -------- d-----w c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-03-16 13:18 . 2008-11-22 19:17 -------- d-----w c:\programme\ICQ6
2009-03-14 11:54 . 2008-11-22 18:35 -------- d-----w c:\programme\Winamp
2009-03-11 14:19 . 2008-11-22 12:04 71392 ----a-w c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-10 21:05 . 2009-03-10 21:05 -------- d-----w c:\programme\Avira
2009-03-10 20:55 . 2008-11-21 21:41 -------- d-----w c:\programme\MSBuild
2009-03-10 19:56 . 2008-12-29 20:26 -------- d-----w c:\programme\SopCast
2009-03-09 03:19 . 2008-11-29 13:53 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 19:56 . 2008-11-22 18:41 98304 ----a-w c:\windows\DUMP541b.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-10-30 16269312]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-01-03 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\uusee\\UUSeePlayer.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [16.03.2009 19:34 215040]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - aujasnkj

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeBridge - (no file)
HKU-Default-Run-uidenhiufgsduiazghs - c:\windows\TEMP\i46we5xf.exe
HKU-Default-Run-autochk - c:\dokume~1\LOCALS~1\protect.dll


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9} = 192.168.0.127
TCP: {324A1893-9A14-4197-8BD9-D92792FC00CF} = 192.168.0.127
TCP: {58684F28-5FF2-4ED7-8916-D84E15A7D17D} = 192.168.0.127
TCP: {78D8D86F-7454-4536-BBC2-3CE40066544D} = 192.168.0.127
TCP: {8D4913A3-3F18-4055-9FB6-99A66965E3FE} = 192.168.0.127
TCP: {B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} = 192.168.0.127
TCP: {C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E} = 192.168.0.127
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\
FF - plugin: c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-05-09 18:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:6e,f6,da,3e,01,a8,22,d9,0e,cd,7f,dd,05,5f,05,6a,44,e0,a6,5c,ac,46,ad,
68,29,46,20,84,ce,a5,73,21,84,ff,d2,ca,6e,3c,a0,7a,c9,41,4f,f8,c9,c2,7e,70,\
"??"=hex:8a,b9,f5,99,9a,fc,16,bb,de,6f,3c,05,0b,06,61,17
.
Zeit der Fertigstellung: 2009-05-09 18:47
ComboFix-quarantined-files.txt 2009-05-09 16:47

Vor Suchlauf: 16 Verzeichnis(se), 37.997.043.712 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 38.210.547.712 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

158 --- E O F --- 2008-11-25 01:26

mfg,

AbsurdMind

Ich brauche jetzt einige Zeit um das Script zu basteln. Lasse in der Zwischenzeit schonmal SUPERAntiSpyware laufen (nur Punkt 1-3 der Anleitung).

ciao, andreas

Hi,

SUPERAntiSpyware ist durch und hat nichts gefunden. Das sieht doch schonmal ganz gut aus.

AntiVir meldete gerade jedoch noch das Auftreten eines Trojaners (obwohl SUPERAntiSpyware kurz davor nichts gefunden hat):

"In der Datei 'C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ChkDisk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.IL.2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Und im Ordner C:\Avenger befindet sich noch der Ordner "{79F16D22-FAC6-4656-9746-508FB71FAAC7}", soll der da sein oder wurde der beim Entfernen vielleicht übersehen?

Grüße,

AbsurdMind

Mir kommen jetzt einige Dinge merkwürdig vor:

1.) Warum gab es schon einen Ordner c:\avenger bevor wir das angeordnet haben?

2.) Warum ist der Dienst/Treiber ar0axqji, der mir im Rsit-Log noch angezeigt wird, plötzlich verschwunden und findet sich statt dessen im Avenger-Ordner?

Kann es sein, dass du irgendwie dazwischenmauschelst?

ciao, andreas

Hi,

Nein, ich mauschel nicht irgendwie dazwischen. Ich habe alles exakt, wie es von dir vorgegeben wurde, durchgeführt.

zu 1) Das kam mir in der Tat auch schon sehr merkwürdig vor. Ich bin davon ausgegangen, dass irgendein anderes Programm, welches ich vorher ausgeführt habe, diesen Ordner erstellt hat. Und ich versichere zu 100%, dass ich das Programm "Avenger", bevor du es mir hier aufgetragen hast, nie benutzt oder gekannt habe.

zu 2) kann ich leider keine Antwort geben, da ich schlichtweg keine Ahnung habe. Es tut mir Leid, ich habe den Dienst nicht angerührt oder sonstiges mit ihm angestellt.

Außerdem hab ich ja wohl wenig Grund dazwischen zu mauscheln, oder? Ich möchte das Teil ja endlich von meinem Rechner haben^^

Ich bedanke mich auf jeden Fall schonmal bis hierhin für die Hilfe.

mfg,

AbsurdMind

1.) Deinstalliere (falls möglich):

• SuperAntiSpyware
• BitTorrent

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
aawservice
aujasnkj

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-
"nwiz"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"autochk"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"AdobeBridge"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\Programme\BitTorrent\bittorrent.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Folder::
C:\rsit
C:\Avenger
C:\Programme\BitTorrent
C:\Programme\TeaTimer (Spybot - Search & Destroy)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Programme\Spybot - Search & Destroy

File::
c:\windows\DUMP541b.tmp
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\lmn_setup.exe

DirLook::
C:\temp
C:\export
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten ohne zu editieren (es sei denn, dein voller Name ist ersichtlich)

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas