ZPACK in ovfsthxphejvobd.dll lässt sich nicht löschen

1-fach-licht · 11.05.2009, 19:38

Nachdem ich in Eurem Forum normalerweise immer nur nachgelesen habe, muss ich nun selber mal um Rat fragen.

Ich habe alle möglichen Tools durchlaufen lassen aber mit folgenden beiden Quälgeistern habe ich nach wie vor Probleme:

In der Datei 'C:\Windows\Temp\ovfsthxcqdohudetc.tmp'
wurde ein Virus oder unerwünschtes Programm 'DR/Small.cgi' [dropper] gefunden.

In der Datei 'C:\Windows\System32\ovfsthxphejvobd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.

Der ZPACK und der Small.cgi lassen sich durch meine beschränkten Mittel einfach nicht killen.

Was habe ich bisher gemacht:
Ich habe Search and Destroy, CCLeaner, HiJack und eben Antivir durchlafen lassen. Meiner Ansicht nach ist im laufenden Betrieb nach dem Durchlauf der Tools Ruhe, aber nicht nach einem Neustart.

Step 1 CCleaner ist durchgelaufen

nächster Punkt Malwarebytes schmeisst folgendes Protokoll raus:

Zitat:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2104
Windows 6.0.6001 Service Pack 1

11.05.2009 20:29:34
mbam-log-2009-05-11 (20-29-34).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 220746
Laufzeit: 47 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hijack sagt folgendes:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:28, on 27.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\HP\Digital Imaging\bin\HpqSRmon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Users\stefan behrens\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Windows\system32\WTablet\Pen_TabletUser.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\***\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Kurznotizen.lnk = C:\Windows\System32\StikyNot.exe
O4 - Global Startup: ColorVisionStartup.lnk = C:\Program Files\ColorVision\Utility\ColorVisionStartup.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe

--
End of file - 8878 bytes

die unistall List liefert folgendes Protokoll

Code:

ATTFilter

32 Bit HP CIO Components Installer
54M Wireless
Activation Assistant for the 2007 Microsoft Office suites
Ad-Aware
Ad-Aware
Adobe AIR
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge 1.0
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color Common Settings
Adobe Color EU Recommended Settings
Adobe Color JA Extra Settings
Adobe Color NA Extra Settings
Adobe Common File Installer
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Fonts All
Adobe Help Center 1.0
Adobe Help Viewer CS3
Adobe Linguistics CS3
Adobe PDF Library Files
Adobe Photoshop Album 2.0 Starter Edition
Adobe Photoshop CS2
Adobe Photoshop CS3
Adobe Photoshop CS3
Adobe Reader 8.1.3 - Deutsch
Adobe Setup
Adobe Setup
Adobe Setup
Adobe Stock Photos 1.0
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Atomix.Atomix MP3 v2.3
AVG Anti-Rootkit Free
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Celtx (1.0)
Choice Guard
Command & Conquer(TM) Generäle
Compatibility Pack für 2007 Office System
Ergo Print Monitor x86
Exif-Viewer 2.50 
Foxit Reader
FreeMind
HDX4 Movie Creator
HijackThis 2.0.2
HP Customer Participation Program 10.0
HP Deskjet F2200 All-In-One Driver Software 10.0 Rel .3
HP Imaging Device Functions 10.0
HP Photosmart Essential 2.5
HP Smart Web Printing
HP Solution Center 10.0
HP Update
ICQ6.5
ImgBurn
IrfanView (remove only)
Java(TM) 6 Update 13
Java(TM) 6 Update 7
Junk Mail filter update
LightScribe Applications
LightScribe System Software  1.10.19.1
Malwarebytes' Anti-Malware
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Search Enhancement Pack
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works
Mozilla Firefox (3.0.10)
Mozilla Thunderbird (2.0.0.17)
MSVC80_x86
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
Neat Image v5.2 Pro+
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
NVIDIA Drivers
Nvu 1.0
OpenAL
OpenOffice.org 3.0
PC Connectivity Solution
PDF Settings
Phase 5 HTML-Editor
PhotoME
QuarkXPress 7.2
Realtek High Definition Audio Driver
Roxio WinOnCD 9 Basic
Shop for HP Supplies
Skype™ 3.8
Sonic MyDVD-VR
Sony Image Data Suite
Sony RAW Driver
Spybot - Search & Destroy
Spyder2express
Stifttablett
VirtualCloneDrive
VLC media player 0.9.4
Winamp
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Mail
Windows Live Messenger
Windows Live Sync
Windows Live Toolbar
Windows Live Writer
Windows Live-Uploadtool
Windows-Treiberpaket - Nokia Modem  (05/22/2008 3.8)
Windows-Treiberpaket - Nokia Modem  (05/22/2008 7.00.0.1)
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
WinRAR

Ich danke euch schonmal im Vorfeld für Eure Hilfe

Grüße
Stefan

.keNNy# · 11.05.2009, 20:30

Hallo und

Erstmal muss ich dich Ohrfeigen

Warum hast du 2 Antivirenprogramme installiert?
So bei HijackThis fixe bitte

Zitat:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

Wie das geht steht in der Anleitung von HijackThis.
Lade dir SUPERAntiSpyware runter und führe einen kompletten Scan durch.
So lade außerdem

Zitat:

C:\Windows\System32\ovfsthxphejvobd.dll
C:\Windows\Temp\ovfsthxcqdohudetc.tmp

hier hoch und verlinke das Ergebnis.
Das sollte fürs erste reichen:P

.keNNy#

1-fach-licht · 12.05.2009, 00:37

Also SUPERAntiSpyware hat mit folgendes nettes Protokoll zur Verfügung gestellt

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/12/2009 at 01:30 AM

Application Version : 4.26.1002

Core Rules Database Version : 3886
Trace Rules Database Version: 1834

Scan type : Complete Scan
Total Scan Time : 03:39:01

Memory items scanned : 677
Memory threats detected : 0
Registry items scanned : 8200
Registry threats detected : 0
File items scanned : 162698
File threats detected : 5

Rogue.FakeAlert/Wallpaper
C:\USERS\STEFAN BEHRENS\APPDATA\LOCAL\VIRTUALSTORE\WINDOWS\SYSTEM32\WARNING.GIF
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\MSFPQJYA\WARNING[1].GIF

Trace.Known Threat Sources
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7GS42IJX\winlogon[1].htm
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4N0OSFQB\onlinescanxpp_com[1].htm
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7GS42IJX\loads[1].htm

Das alles sagt mir natürlich wieder nichts

Die Hijack Einträge sind gefixed, nur die beiden Dateien:

Zitat:

C:\Windows\System32\ovfsthxphejvobd.dll
C:\Windows\Temp\ovfsthxcqdohudetc.tmp

wurden nicht gefunden.

Ich werde aber morgen beim Neustart die Biester mal nicht mit Antivir löschen sondern in Quarantäne verschieben, um sie hochzuladen.

Vielen Dank bis dahin, es bleibt spannend

Grüße
Stefan

1-fach-licht · 12.05.2009, 01:42

SO nun habe ich mich nach dem Neustart wieder auf die Suche nach den beiden Datein gemacht.
Da Antivir den "Zugriff verweigert" habe ich sie in der Quarantäne aufgespürt.

Hier ein Screenshot

.keNNy# · 12.05.2009, 16:16

Hallöle
Nehme mal diese Einstellungen (nur Punkt 2) vor und versuche dann nochmal die beiden Dateien bei Virustotal hochzuladen

Lösche alles was von SUPERAntiSpyware gefunden wurde und mache nochmal ein neues HijackThis-log.

Gmer

* Donwloade Gmer
* Entpacke es auf dem Desktop
* Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
* Schließe bitte alle Anwendungen, auch das Antivirusprogramm
* Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
* Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
* Beende GMER mit "OK"

Antivir Rootkit Tool

Downloade Antivir Rootkit Tool
Starte die .exe
Installieren
Starte den Scan mit Antivir Rootkit Tool mit "Start Scan"
Klicke auf "View Report"
Kopiere den Inhalt und füge ihn hier ein

Scanne erneut mit SUPERAntiSpyware und lösche alle Funde.
Anschließend: Abschaltung der Systemwiederherstellung
(Punkt 1-3)
Im Laufe der Infektion können Systemwiederherstellungspunkte infiziert werden. Nach abschalten der Systemwiederherstellung-->Neustart
Danach wieder einschalten, ggf Neustart

So weit erstmal

.keNNy#

1-fach-licht · 19.05.2009, 22:21

Hallo again

es tut mir leid das ich erst jetzt antworte aber ich war die letzte Woche nicht an meinem Rechner ... ich werde nun mal Schritt für Schritt deine Anleitung durchgehen und die Ergebnisse hier posten.

Ich hoffe ich komme um eine Neuinstallation drumherum

1-fach-licht · 20.05.2009, 00:15

hier nun das Spyware Log

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/20/2009 at 01:03 AM

Application Version : 4.26.1002

Core Rules Database Version : 3886
Trace Rules Database Version: 1834

Scan type : Complete Scan
Total Scan Time : 01:46:30

Memory items scanned : 684
Memory threats detected : 0
Registry items scanned : 8203
Registry threats detected : 6
File items scanned : 132392
File threats detected : 5

Trojan.Agent/Gen-FraudLoad
[] C:\WINDOWS\TEMP\QO5JG3.EXE
C:\WINDOWS\TEMP\QO5JG3.EXE
[uidenhiufgsduiazghs] C:\WINDOWS\TEMP\QO5JG3.EXE
[] C:\WINDOWS\TEMP\QO5JG3.EXE
[uidenhiufgsduiazghs] C:\WINDOWS\TEMP\QO5JG3.EXE
C:\WINDOWS\TEMP\SFSDFDF.EXE

Trojan.Unclassified/C00-Installer
[A00FEFE70.exe] C:\WINDOWS\TEMP\_A00FEFE70.EXE
C:\WINDOWS\TEMP\_A00FEFE70.EXE
[A00FEFE70.exe] C:\WINDOWS\TEMP\_A00FEFE70.EXE

Trojan.Smitfraud Variant-Gen/Bensorty
C:\WINDOWS\SYSTEM32\AFNOINKDSFE.DLL

Trojan.Unknown Origin
C:\WINDOWS\TEMP\UNINST00F0E20.BAT

Hijack spuckt danach folgendes aus :

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:28, on 27.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\HP\Digital Imaging\bin\HpqSRmon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Users\stefan behrens\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Windows\system32\WTablet\Pen_TabletUser.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\***\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Kurznotizen.lnk = C:\Windows\System32\StikyNot.exe
O4 - Global Startup: ColorVisionStartup.lnk = C:\Program Files\ColorVision\Utility\ColorVisionStartup.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe

--
End of file - 8878 bytes

1-fach-licht · 20.05.2009, 01:21

Gmer findet ein Rootkit

Zitat:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-20 02:17:03
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.15 ----

Code 86E77CE0 ZwEnumerateKey
Code 86D28868 ZwFlushInstructionCache
Code 86D97455 IofCallDriver
Code 86DFDA86 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 82459169 5 Bytes JMP 86D9745A
.text ntoskrnl.exe!IofCompleteRequest 824591D6 5 Bytes JMP 86DFDA8B

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74427BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [744698C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7442D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7441F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74427599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7441E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [7445B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [7442D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [7442012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74420095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [744171F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [744AD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [744475E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7441DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7441668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [744166BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2180] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74421E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\ovfsthxfehraxur.sys (*** hidden *** ) [SYSTEM] ovfsthxfihbfepc <-- ROOTKIT !!!

1-fach-licht · 20.05.2009, 01:22

2ter Teil Gmer

Zitat:

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc@imagepath \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc@inst 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@ver icv210409
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@cid 01
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@bid 484744432-884559710-4201843287-3005015240
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@aid 303572
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@sid 169
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@feed 0x22 0x64 0x78 0x36 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@cmddelay 28801
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main@logoffset 134799
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\ff
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\ff@extension \\?\C:\Program Files\Mozilla Firefox\extensions\{981FB3D6-F5C0-4141-B397-E4E3AB37DDB6}
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\ff@version 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\injector@iexplore.exe ovfsthxwi.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\injector@explorer.exe ovfsthxff.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks\0000000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks\0000000001@fn (null)
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks\0000000001@url http://212.117.174.14/lmn_setup.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks\0000000001@timeout 900
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks\0000000001@type 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\main\tasks\0000000001@count 7
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules@ovfsthx.sys \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules@ovfsthx.dll \systemroot\system32\ovfsthxewnkyxsi.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules@ovfsthxlog.dat \systemroot\system32\ovfsthxpcjginut.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules@ovfsthxwi.dll \systemroot\system32\ovfsthxdtveblso.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules@ovfsthxff.dll \systemroot\system32\ovfsthxphejvobd.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ovfsthxfihbfepc\modules@ovfsthx.dat \systemroot\system32\ovfsthxxmioqnse.dat
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc@imagepath \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@ver icv210409
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@cid 01
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@bid 484744432-884559710-4201843287-3005015240
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@aid 303572
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@sid 169
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@feed 0x22 0x64 0x78 0x36 ...
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@cmddelay 28801
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main@logoffset 61946
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\delete
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\ff
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\ff@extension \\?\C:\Program Files\Mozilla Firefox\extensions\{981FB3D6-F5C0-4141-B397-E4E3AB37DDB6}
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\ff@version 1
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\injector
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\injector@iexplore.exe ovfsthxwi.dll
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\injector@explorer.exe ovfsthxff.dll
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\main\tasks
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules@ovfsthx.sys \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules@ovfsthx.dll \systemroot\system32\ovfsthxewnkyxsi.dll
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules@ovfsthxlog.dat \systemroot\system32\ovfsthxpcjginut.dat
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules@ovfsthxwi.dll \systemroot\system32\ovfsthxdtveblso.dll
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules@ovfsthxff.dll \systemroot\system32\ovfsthxphejvobd.dll
Reg HKLM\SYSTEM\ControlSet002\Services\ovfsthxfihbfepc\modules@ovfsthx.dat \systemroot\system32\ovfsthxxmioqnse.dat
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc@imagepath \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc@inst 0
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@ver icv210409
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@cid 01
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@bid 484744432-884559710-4201843287-3005015240
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@aid 303572
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@sid 169
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@feed 0x22 0x64 0x78 0x36 ...
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@cmddelay 28801
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main@logoffset 61946
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\delete
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\ff
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\ff@extension \\?\C:\Program Files\Mozilla Firefox\extensions\{981FB3D6-F5C0-4141-B397-E4E3AB37DDB6}
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\ff@version 1
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\injector
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\injector@iexplore.exe ovfsthxwi.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\injector@explorer.exe ovfsthxff.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks\0000000001
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks\0000000001@fn (null)
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks\0000000001@url http://122.224.5.189/~aakjhuwe87/files/lmn_setup.exe
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks\0000000001@timeout 900
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks\0000000001@type 0
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\main\tasks\0000000001@count 10
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules@ovfsthx.sys \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules@ovfsthx.dll \systemroot\system32\ovfsthxewnkyxsi.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules@ovfsthxlog.dat \systemroot\system32\ovfsthxpcjginut.dat
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules@ovfsthxwi.dll \systemroot\system32\ovfsthxdtveblso.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules@ovfsthxff.dll \systemroot\system32\ovfsthxphejvobd.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ovfsthxfihbfepc\modules@ovfsthx.dat \systemroot\system32\ovfsthxxmioqnse.dat
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc@start 1
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc@type 1
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc@group file system
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc@imagepath \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc@inst 0
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@ver icv210409
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@cid 01
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@bid 484744432-884559710-4201843287-3005015240
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@aid 303572
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@sid 169
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@feed 0x22 0x64 0x78 0x36 ...
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@cmddelay 28801
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main@logoffset 134799
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\delete
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\ff
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\ff@extension \\?\C:\Program Files\Mozilla Firefox\extensions\{981FB3D6-F5C0-4141-B397-E4E3AB37DDB6}
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\ff@version 1
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\injector
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\injector@iexplore.exe ovfsthxwi.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\injector@explorer.exe ovfsthxff.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks\0000000001
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks\0000000001@fn (null)
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks\0000000001@url http://212.117.174.14/lmn_setup.exe
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks\0000000001@timeout 900
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks\0000000001@type 0
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\main\tasks\0000000001@count 10
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules@ovfsthx.sys \systemroot\system32\drivers\ovfsthxfehraxur.sys
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules@ovfsthx.dll \systemroot\system32\ovfsthxewnkyxsi.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules@ovfsthxlog.dat \systemroot\system32\ovfsthxpcjginut.dat
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules@ovfsthxwi.dll \systemroot\system32\ovfsthxdtveblso.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules@ovfsthxff.dll \systemroot\system32\ovfsthxphejvobd.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ovfsthxfihbfepc\modules@ovfsthx.dat \systemroot\system32\ovfsthxxmioqnse.dat

---- Files - GMER 1.0.15 ----

File C:\Windows\System32\drivers\ovfsthxfehraxur.sys 81920 bytes executable <-- ROOTKIT !!!
File C:\Windows\System32\ovfsthxewnkyxsi.dll 60928 bytes executable
File C:\Windows\System32\ovfsthxpcjginut.dat 159373 bytes
File C:\Windows\System32\ovfsthxphejvobd.dll 18432 bytes executable
File C:\Windows\System32\ovfsthxxmioqnse.dat 43 bytes

---- EOF - GMER 1.0.15 ----

1-fach-licht · 20.05.2009, 01:28

Die Installation von Antivir Rootkit Tool schlägt mit folgender Fehlermeldung fehl (Obwohl Antivir, wie auch der Guard, sowie alle anderen Programme geschlossen sind):

DETAILS:

Zitat:

Error Information:
>SetupDLL\SetupDLL.cpp (955)
pAPP:Avira RootKit Detection
PVENDOR:Avira GmbH
PGUID:1FD25FCD-6F39-4686-AFBB-7056EBAE5E68
$7.1.100.1248
@Windows Service Pack 1 (6001) BT_OTHER 65534.65535

werd ich dieses Biest jemals los ?

Grüße
Stefan

PS ich hoffe nun nicht zuviel Kram gepostet zu haben

.keNNy# · 20.05.2009, 15:57

Alles was gefunden wurde löschen auch von Gmer.
Dann neuer Scan mit Malwarebytes und/oder SUPERAntispyware.

john.doe · 20.05.2009, 16:36

@.keNNy#

Zitat:

Alles was gefunden wurde löschen auch von Gmer.

Kannst du mir bitte erklären, wie man mit GMER löscht? Oder weißt du eigentlich, was du da gerade tust?

Es ist egal, ob du hier als DJ-D oder .keNNy# (oder mit einem, deiner weiteren Nicks) auftauchst, du hast noch immer nicht die Spur einer Ahnung.

@1-fach-licht

Ab sofort nicht mehr auf .keNNy# hören, das gilt besonders für PNs oder evtl. Messengerangebote.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Larusso · 20.05.2009, 16:43

Danke andreas

ich wollte nichts sagen

@kenny

was sollte das ?

Zitat:

Dann neuer Scan mit Malwarebytes und/oder SUPERAntispyware.

Malwarebytes hat auch beim ersten Scan nichts gefunden und wird es auch jz nicht tun
und bei Anweisungen gibt es kein Oder !

lass bitte die Finger von derartigen Infektionen wie TDSS

.keNNy# · 20.05.2009, 17:18

Zitat:

Es ist egal, ob du hier als DJ-D oder .keNNy# (oder mit einem, deiner weiteren Nicks) auftauchst, du hast noch immer nicht die Spur einer Ahnung.

Ich möchte zu meiner Verteidigung sagen das ich mich NUR 1 mal angemeldet habe und das als .keNNy#. Ich habe mich nicht als DJ-D oder noch jemand anderes angemeldet.

Zitat:

das gilt besonders für PNs oder evtl. Messengerangebote.

Ich habe hier noch keine einzige PN verschickt und auch keine Messengerangebote!

Ich lasse jetzt die Finger von Beiträgen und möchte mich herzlichst entschuldigen.

1-fach-licht · 24.05.2009, 00:25

Wow ... ich hoffe das mein Anliegen nicht zu Streit führt.

Ich habe Laut Anleitung nun CCleaner und Combofix ausgeführt.

Hier das Log Teil 1:

Zitat:

ComboFix 09-05-23.04 - stefan behrens 24.05.2009 1:07.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2047.1283 [GMT 2:00]
ausgeführt von:: c:\users\stefan behrens\Desktop\ComboFix.exe
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\lmn_setup.exe
c:\windows\system32\ovfsthxpcjginut.da_
c:\windows\system32\ovfsthxxmioqnse.da_
c:\windows\system32\p2hhr.bat
J:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthxfihbfepc

((((((((((((((((((((((( Dateien erstellt von 2009-04-23 bis 2009-05-23 ))))))))))))))))))))))))))))))
.

2009-05-23 23:10 . 2009-05-23 23:15 -------- d-----w c:\users\stefan behrens\AppData\Local\temp
2009-05-20 18:35 . 2009-05-20 18:35 27377 ----a-w c:\windows\system32\cfd.exe
2009-05-19 19:55 . 2009-05-19 21:58 104326 ----a-w c:\windows\system32\vp_setup.exe
2009-05-11 20:18 . 2009-05-11 20:24 -------- d-----w C:\Neuer Ordner
2009-05-11 19:48 . 2009-05-23 22:47 117760 ----a-w c:\users\stefan behrens\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-05-11 19:46 . 2009-05-11 19:46 -------- d-----w c:\program files\SUPERAntiSpyware
2009-05-11 19:46 . 2009-05-11 19:46 -------- d-----w c:\users\stefan behrens\AppData\Roaming\SUPERAntiSpyware.com
2009-05-11 19:46 . 2009-05-11 19:46 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-11 18:03 . 2007-01-18 12:00 3968 ----a-w c:\windows\system32\drivers\AvgArCln.sys
2009-05-11 01:28 . 2009-05-11 01:23 15688 ----a-w c:\windows\system32\lsdelete.exe
2009-05-11 01:24 . 2009-05-11 01:23 64160 ----a-w c:\windows\system32\drivers\Lbd.sys
2009-05-11 01:22 . 2009-05-11 01:22 -------- d-----w c:\program files\Lavasoft
2009-05-10 23:21 . 2009-05-10 23:21 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-05-03 00:19 . 2009-05-03 00:19 -------- d-----w c:\users\stefan behrens\AppData\Roaming\Malwarebytes
2009-05-03 00:19 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-03 00:19 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-03 00:19 . 2009-05-03 00:19 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-01 00:49 . 2009-05-01 00:52 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-01 00:49 . 2009-05-01 00:52 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-01 00:49 . 2009-05-01 00:49 -------- d-----w c:\program files\Avira
2009-05-01 00:41 . 2009-05-01 00:41 -------- d-----w c:\program files\CCleaner
2009-04-28 18:10 . 2009-04-28 18:14 -------- d-----w c:\temp\ModArt2
2009-04-27 23:06 . 2009-04-27 23:06 413696 ----a-w c:\windows\system32\wrap_oal.dll
2009-04-27 23:06 . 2009-04-27 23:06 110592 ----a-w c:\windows\system32\OpenAL32.dll
2009-04-27 23:06 . 2009-04-27 23:06 -------- d-----w c:\program files\OpenAL
2009-04-27 17:18 . 2009-04-12 17:54 954368 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-04-27 17:18 . 2009-04-12 17:54 71652 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\avutil-49.dll
2009-04-27 17:18 . 2009-04-12 17:54 4534272 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-04-27 17:18 . 2009-04-12 17:54 344064 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-04-27 17:18 . 2009-04-12 17:54 131868 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\avformat-52.dll
2009-04-27 17:18 . 2009-04-12 17:54 103424 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-04-27 17:18 . 2009-04-12 17:54 65536 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-04-27 17:18 . 2009-04-12 17:54 1161626 ----a-w c:\users\stefan behrens\AppData\Roaming\Mozilla\Firefox\Profiles\uvlrd030.default\extensions\piclens@cooliris.com\libs\avcodec-51.dll
2009-04-26 22:33 . 2009-04-26 22:33 -------- d-----w c:\users\stefan behrens\AppData\Local\Installer4236
2009-04-26 22:27 . 2009-04-26 22:27 -------- d-----w c:\users\stefan behrens\AppData\Local\Installer4160
2009-04-26 22:15 . 2009-04-26 22:15 -------- d-----w c:\program files\Trend Micro
2009-04-26 21:53 . 2009-04-26 21:53 -------- d-----w c:\users\stefan behrens\AppData\Roaming\Media Player Classic

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 23:13 . 2008-10-30 10:55 -------- d-----w c:\users\stefan behrens\AppData\Roaming\WTablet
2009-05-23 23:13 . 2008-10-31 03:08 -------- d-----w c:\windows\system32\config\systemprofile\AppData\Roaming\WTablet
2009-05-20 21:23 . 2008-10-13 17:47 -------- d-----w c:\users\stefan behrens\AppData\Roaming\Skype
2009-05-20 18:31 . 2008-10-13 17:52 -------- d-----w c:\users\stefan behrens\AppData\Roaming\skypePM
2009-05-20 01:04 . 2008-10-13 19:30 1 ----a-w c:\users\stefan behrens\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-05-19 23:04 . 2008-10-30 00:02 -------- d-----w c:\users\stefan behrens\AppData\Roaming\uTorrent
2009-05-15 21:38 . 2008-10-09 20:08 -------- d-----w c:\users\stefan behrens\AppData\Roaming\dvdcss
2009-05-13 23:23 . 2008-11-27 17:03 1356 ----a-w c:\users\stefan behrens\AppData\Local\d3d9caps.dat
2009-05-13 14:41 . 2008-01-21 07:15 618204 ----a-w c:\windows\system32\perfh007.dat
2009-05-13 14:41 . 2008-01-21 07:15 122636 ----a-w c:\windows\system32\perfc007.dat
2009-05-03 20:20 . 2008-10-13 19:55 1424 ----a-w c:\users\stefan behrens\AppData\Roaming\wklnhst.dat
2009-05-03 00:27 . 2008-10-09 16:57 90376 ----a-w c:\users\stefan behrens\AppData\Local\GDIPFONTCACHEV1.DAT
2009-04-26 22:36 . 2008-10-13 19:21 -------- d--h--w c:\program files\Java
2009-04-26 22:26 . 2008-03-12 09:53 -------- d--h--w c:\program files\Common Files\Adobe
2009-04-20 22:30 . 2009-04-20 22:30 -------- d-----w c:\windows\system32\config\systemprofile\AppData\Roaming\PC Suite
2009-04-19 17:23 . 2009-04-19 17:23 -------- d-----w c:\program files\AtomixMP3
2009-04-19 17:01 . 2008-03-12 10:58 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-19 16:49 . 2009-04-19 16:49 -------- d-----w c:\program files\Native Instruments
2009-04-02 00:30 . 2009-04-02 00:30 0 ----a-w c:\users\stefan behrens\irfanview_plugins_423.zip
2009-03-30 23:18 . 2009-03-30 23:18 -------- d-----w c:\users\stefan behrens\AppData\Roaming\IrfanView
2009-03-30 23:18 . 2009-03-30 23:18 -------- d-----w c:\program files\IrfanView
2009-03-26 18:24 . 2008-12-20 14:31 -------- d-----w c:\program files\ICQ6.5
2009-03-17 03:38 . 2009-04-15 22:50 13824 ----a-w c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-15 22:50 24064 ----a-w c:\windows\system32\amxread.dll
2009-03-09 03:19 . 2009-01-19 18:48 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-03 04:46 . 2009-04-15 22:50 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-15 22:50 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-15 22:50 827392 ----a-w c:\windows\system32\wininet.dll
2009-03-03 04:39 . 2009-04-15 22:50 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-03-03 04:39 . 2009-04-15 22:50 551424 ----a-w c:\windows\system32\rpcss.dll
2009-03-03 04:39 . 2009-04-15 22:50 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-15 22:50 78336 ----a-w c:\windows\system32\ieencode.dll
2009-03-03 04:37 . 2009-04-15 22:50 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-03-03 04:37 . 2009-04-15 22:50 54784 ----a-w c:\windows\system32\iasads.dll
2009-03-03 04:37 . 2009-04-15 22:50 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-15 22:50 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-15 22:50 17408 ----a-w c:\windows\system32\iashost.exe
2009-03-03 02:28 . 2009-04-15 22:50 26624 ----a-w c:\windows\system32\ieUnatt.exe
2009-02-23 17:33 . 2009-02-23 17:33 766 ----a-r c:\users\stefan behrens\AppData\Roaming\Microsoft\Installer\{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}\htmledit.exe
2009-02-23 17:33 . 2009-02-23 17:33 10134 ----a-r c:\users\stefan behrens\AppData\Roaming\Microsoft\Installer\{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}\Foren.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

ZPACK in ovfsthxphejvobd.dll lässt sich nicht löschen

Plagegeister aller Art und deren Bekämpfung: ZPACK in ovfsthxphejvobd.dll lässt sich nicht löschen