Recycler Virus!

SunOne · 28.05.2009, 13:38

Hallo,

also es geht dadrum, dass ich auf meinem stick einen Virus hatte,
diesen habe ich gelöscht, aber irgendwie funktioniert mein windows nicht mehr richtig und alle programme bleiben oft hängen!

.
Habe eben noch einen virus gefunden, der aber auf meinem pc war, nur ich weiß nicht ob mein pc jetzt clean ist!

Ein Kumepl von mir hat gemeint, man kann mir hier schritt für schritt helfen...

nun könnt ihr mir sagen was ich zu tun habe?

Chris4You · 28.05.2009, 13:43

Hi,

als erstes wäre es recht hilfreich zu wissen was wo gefunden wurde...

Dann bitte alles was unter dem Link "Erstbeitrag" in der Signatur steht abarbeiten...

chris

SunOne · 28.05.2009, 18:09

Okay,

erstmal vielen Dank für die schnelle Antwort!

Ich beschreibe das Problem nun etwas genauer:

Also folgendes ist passiert:
Habe am Dienstag meinen USB-Stick in die Schule genommen! Nachdem ich diesen zu Hause wieder angeschlossen habe, kam die Meldung, dass ein Virus gefunden wurde. Einen Datei hieß Recycler Virus und die andere autolog.ini!
Habe zuerst diese Meldung ignoriert und am nächsten Tag wurde dann von meinem Antivirus-Programm ein Virus im Arbeitsspeicher gefunden und nun habe ich ihn gelöscht! Jetzt wollte ich einfach nur wissen, ob mein PC wieder von jeglichen Würmern clean ist!

Mein Fortschritt:
1. Habe den Schritt mit dem CCleaner vollständig ausgeführt!
2.Malwarebytes gab folgendes an:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2187
Windows 5.1.2600 Service Pack 3

28.05.2009 19:03:29
mbam-log-2009-05-28 (19-03-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 154004
Laufzeit: 17 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

3.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:27, on 28.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.silkroadonline.co.kr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 87.118.118.162 nprotect.roseonlinegame.com
O1 - Hosts: 87.118.118.162 update.nprotect.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5938 bytes

Warte nun auf Ergebnisse, hoffe ich habe alles richtig gemacht!

Chris4You · 29.05.2009, 06:39

Hi,

leider wohl nicht...
Kann es statt der autolog.ini die "autorun.inf" gewesen sein?

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: 87.118.118.162 nprotect.roseonlinegame.com
O1 - Hosts: 87.118.118.162 update.nprotect.com

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

SunOne · 29.05.2009, 07:00

alles klar,

so nachdem ich gefixt habe,
sieht das nun so aus

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:57:33, on 29.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.silkroadonline.co.kr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5873 bytes

Malwarebytes Antimalware (MAM)

1.Scan

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2187
Windows 5.1.2600 Service Pack 3

28.05.2009 19:03:29
mbam-log-2009-05-28 (19-03-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 154004
Laufzeit: 17 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2.Scan

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2187
Windows 5.1.2600 Service Pack 3

29.05.2009 08:20:02
mbam-log-2009-05-29 (08-20-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 154205
Laufzeit: 18 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You · 29.05.2009, 08:21

Hi,

MAM sieht gut aus, bitte noch RSIT-Log posten...

chris

SunOne · 29.05.2009, 14:18

ergebnisse vom rsit (bitte auch den vorherigen post überprüfen)!

1. info.txt

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-05-29 08:25:58

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9.1.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
DigitalSimulatorV5.31 (remove only)-->"C:\Programme\DigitalSimulatorV5.31\uninstall.exe"
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Free Studio version 4.1-->"D:\Programme\DVDVideoSoft\Free Studio\unins000.exe"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"D:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe" /uninstall
Hotfix f? Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915800-v4)-->"C:\WINDOWS\$NtUninstallKB915800-v4$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Foto- und Bildbearbeitung 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series-->C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber -->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
HP Speicher-Disc-->MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
J2SE Runtime Environment 5.0 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150020}
Java(TM) 6 Update 12-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012F0}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Windows Application Compatibility Database-->C:\WINDOWS\system32\sdbinst.exe -u "C:\WINDOWS\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb"
Mozilla Firefox (3.0.10)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8-->MsiExec.exe /X{D3AAAEA9-9A0C-4568-8E9D-073497291031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Sicherheitsupdate f? Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate f? Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Vektoris3D 2.0 2.0-->C:\Programme\Vektoris3D20\uninstall.exe
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
VLC media player 0.9.2-->C:\Programme\VideoLAN\VLC\uninstall.exe
Wichtiges Update f? Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

=====HijackThis Backups=====

O1 - Hosts: 87.118.118.162 update.nprotect.com [2009-05-29]
O1 - Hosts: 87.118.118.162 nprotect.roseonlinegame.com [2009-05-29]
R3 - URLSearchHook: (no name) -  - (no file) [2009-05-29]

======Security center information======

AV: avast! antivirus 4.8.1335 [VPS 090528-0]

======System event log======

Computer Name: SUNONE
Event Code: 4373
Message: Die Windows XP KB923561-Installation ist fehlgeschlagen.
Die Syntax fur den Dateinamen, Verzeichnisnamen oder die Datentragerbezeichnung ist falsch.


Record Number: 22816
Source Name: NtServicePack
Time Written: 20090505150652.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: SUNONE
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{A419977C-022B-4D32-8B2A-9DE3E26B6D5C}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 22815
Source Name: Tcpip
Time Written: 20090505130114.000000+120
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 7036
Message: Dienst "Windows-Bilderfassung (WIA)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 22814
Source Name: Service Control Manager
Time Written: 20090505130109.000000+120
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 8033
Message: Der Suchdienst hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{A419977C-022B-4D32-8B2A-9DE3E26B6D5C}" erzwungen, da der Hauptsuchdienst beendet wurde.

Record Number: 22813
Source Name: BROWSER
Time Written: 20090505130108.000000+120
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{A419977C-022B-4D32-8B2A-9DE3E26B6D5C}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 22812
Source Name: Tcpip
Time Written: 20090505124431.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: SUNONE
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 429
Source Name: SecurityCenter
Time Written: 20081112122618.000000+060
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 428
Source Name: SecurityCenter
Time Written: 20081112064854.000000+060
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 427
Source Name: SecurityCenter
Time Written: 20081111180356.000000+060
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 426
Source Name: SecurityCenter
Time Written: 20081111114204.000000+060
Event Type: Informationen
User: 

Computer Name: SUNONE
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 425
Source Name: SecurityCenter
Time Written: 20081111075142.000000+060
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0401
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

SunOne · 29.05.2009, 14:20

2.log.txt

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by xxx at 2009-05-29 15:11:15
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 21 GB (68%) free of 31 GB
Total RAM: 1023 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:22, on 29.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\xxx\Desktop\RSIT.exe
D:\Dokumente und Einstellungen\xxx\Desktop\xxx.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.silkroadonline.co.kr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5998 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1225298637.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-04 208952]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-01-15 13680640]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-02-05 81000]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2007-03-01 153136]
"NBKeyScan"=C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [2007-09-20 1836328]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2005-06-29 2806272]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-01-15 86016]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
C:\Programme\Realtek\InstallShield\AzMixerSel.exe [2005-06-08 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
C:\WINDOWS\SOUNDMAN.EXE [2005-06-21 90112]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WSearch"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"D:\Programme\Ventrilo\Ventrilo.exe"="D:\Programme\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe"
"D:\Programme\ICQ6.5\ICQ.exe"="D:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"D:\Dokumente und Einstellungen\xxx\Desktop\CryptLoad_1.1.6\RouterClient.exe"="D:\Dokumente und Einstellungen\xxx\Desktop\CryptLoad_1.1.6\RouterClient.exe:*:Enabled:RouterClient"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-05-29 08:25:35 ----D---- C:\rsit
2009-05-28 15:07:12 ----D---- D:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-05-28 15:07:07 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 15:07:07 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-28 15:01:21 ----D---- C:\Programme\CCleaner
2009-05-12 20:13:49 ----D---- C:\Programme\Vektoris3D20
2009-05-10 13:06:39 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2009-05-03 15:40:58 ----D---- C:\WINDOWS\ROSE Online Evolution

======List of files/folders modified in the last 1 months======

2009-05-29 15:10:41 ----D---- C:\WINDOWS\Temp
2009-05-29 15:10:39 ----D---- C:\Programme\Mozilla Firefox
2009-05-29 08:29:55 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-29 00:08:17 ----D---- D:\Dokumente und Einstellungen\xxx\Anwendungsdaten\skypePM
2009-05-29 00:01:59 ----D---- D:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype
2009-05-28 18:38:28 ----D---- C:\WINDOWS
2009-05-28 15:07:08 ----D---- C:\WINDOWS\system32\drivers
2009-05-28 15:07:07 ----RD---- C:\Programme
2009-05-28 15:02:37 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-28 15:02:27 ----D---- C:\WINDOWS\Debug
2009-05-28 14:22:52 ----D---- C:\WINDOWS\Prefetch
2009-05-28 13:52:07 ----D---- C:\WINDOWS\system32
2009-05-28 13:51:41 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-28 13:49:23 ----SHD---- C:\System Volume Information
2009-05-28 12:36:00 ----D---- C:\WINDOWS\system32\Restore
2009-05-28 06:42:30 ----D---- C:\Downloads
2009-05-28 06:39:21 ----D---- C:\WINDOWS\system32\Macromed
2009-05-24 00:53:36 ----D---- C:\Programme\ECSRO
2009-05-23 00:26:22 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-14 16:36:51 ----SHD---- C:\WINDOWS\Installer
2009-05-10 14:17:37 ----D---- C:\WINDOWS\AppPatch
2009-05-10 14:02:54 ----RSHD---- C:\WINDOWS\system32\dllcache
2009-05-10 14:02:54 ----HD---- C:\WINDOWS\inf
2009-05-10 14:02:52 ----D---- C:\WINDOWS\system32\CatRoot
2009-05-09 22:48:40 ----RSD---- C:\WINDOWS\Fonts
2009-05-09 22:48:40 ----A---- C:\WINDOWS\system.ini
2009-05-09 22:48:33 ----D---- C:\WINDOWS\Help
2009-05-07 09:16:29 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-03 17:00:20 ----D---- C:\Casino
2009-05-02 11:02:30 ----HD---- C:\Programme\InstallShield Installation Information
2009-04-30 23:06:13 ----D---- C:\Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-02-05 26944]
R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2008-10-27 82380]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-02-05 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-02-05 51376]
R1 FsVga;FsVga; C:\WINDOWS\system32\DRIVERS\fsvga.sys [2004-08-04 12288]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 oreans32;oreans32; \??\C:\WINDOWS\system32\drivers\oreans32.sys []
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-02-05 94032]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-08-03 11868]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-02-05 23152]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536]
R3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2005-06-29 3173888]
R3 MicNgBas;Cinergy Dual T PCIe Base Driver; C:\WINDOWS\system32\drivers\MicNgBas.sys [2005-08-03 44160]
R3 MicNgCap;Cinergy Dual T PCIe Capture Driver; C:\WINDOWS\system32\drivers\MicNgCap.sys [2005-08-03 48896]
R3 MicNgTun;Cinergy Dual T PCIe Tuner Driver; C:\WINDOWS\system32\drivers\MicNgTun.sys [2005-08-03 98176]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-01-15 6301248]
R3 RTL8023;Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver; C:\WINDOWS\system32\DRIVERS\Rtlnic51.sys [2003-12-31 69504]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 cimo;cimo; \??\C:\WINDOWS\system32\drivers\cimo.ahc []
S3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-03-09 51024]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-03-09 16080]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-03-09 21456]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NPPTNT2;NPPTNT2; \??\C:\WINDOWS\system32\npptNT2.sys []
S3 NTProcDrv;Process creation detector for NT.; \??\D:\Dokumente und Einstellungen\xxx\Desktop\Bot\NtProcDrv.sys []
S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2008-12-04 47360]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XDva259;XDva259; \??\C:\WINDOWS\system32\XDva259.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-02-05 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-02-05 138680]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2007-09-20 853288]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-01-15 163908]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-02-05 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-02-05 352920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2007-10-23 382248]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-03-09 65795]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2008-10-16 361728]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Chris4You · 29.05.2009, 15:10

Hi,

da gibt es noch ein paar Treiber/Dienste die ich nicht zuordnen kann:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\oreans32.sys <- gibt eine gleichnamigen Rootkittreiber
C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys
C:\WINDOWS\system32\drivers\cimo.ahc
C:\WINDOWS\system32\npptNT2.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

SunOne · 29.05.2009, 16:00

keine ahnung was ein HASH ist! sorry!

1.

Code:

ATTFilter

 Datei oreans32.sys empfangen 2009.05.29 14:57:01 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.29	-
AhnLab-V3	5.0.0.2	2009.05.29	-
AntiVir	7.9.0.180	2009.05.29	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.29	-
Avast	4.8.1335.0	2009.05.29	-
AVG	8.5.0.339	2009.05.29	-
BitDefender	7.2	2009.05.29	-
CAT-QuickHeal	10.00	2009.05.29	-
ClamAV	0.94.1	2009.05.29	-
Comodo	1215	2009.05.29	-
DrWeb	5.0.0.12182	2009.05.29	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6528	2009.05.29	-
F-Prot	4.4.4.56	2009.05.29	-
F-Secure	8.0.14470.0	2009.05.29	-
Fortinet	3.117.0.0	2009.05.29	-
GData	19	2009.05.29	-
Ikarus	T3.1.1.57.0	2009.05.29	-
K7AntiVirus	7.10.749	2009.05.29	-
Kaspersky	7.0.0.125	2009.05.29	-
McAfee	5629	2009.05.28	-
McAfee+Artemis	5629	2009.05.28	-
McAfee-GW-Edition	6.7.6	2009.05.29	-
Microsoft	1.4701	2009.05.29	-
NOD32	4116	2009.05.29	-
Norman	6.01.05	2009.05.29	-
nProtect	2009.1.8.0	2009.05.29	-
Panda	10.0.0.14	2009.05.29	-
PCTools	4.4.2.0	2009.05.29	-
Prevx	3.0	2009.05.29	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.29	-
Sunbelt	3.2.1858.2	2009.05.29	-
Symantec	1.4.4.12	2009.05.29	-
TheHacker	6.3.4.3.334	2009.05.29	-
TrendMicro	8.950.0.1092	2009.05.29	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.29.1761	2009.05.29	-
weitere Informationen
File size: 33824 bytes
MD5...: b99575d16f887883b821d372ff292c20
SHA1..: 661a3d82411fe8a6524e4bad7fc5d098e3d33429
SHA256: d786de9fb254dcec3d131cbeae13e4020d9e353835ad2e4bef9580b1d638b4ad
ssdeep: -
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7c4b
timedatestamp.....: 0x45d2abc0 (Wed Feb 14 06:27:12 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x7b1c 0x7b20 7.02 8f2309fcfd4de0835976775f17963f27
.rdata 0x7da0 0x8c 0xa0 2.66 f04b7a8f1ee608d9816c564065f8a1df
.data 0x7e40 0x27e 0x280 4.65 c44dc6af36069b8e96614f05759e2cb9
INIT 0x80c0 0x1ba 0x1c0 4.55 8b05f197002090e5c31c0a5dd6e04a07
.reloc 0x8280 0x182 0x1a0 5.34 68b55665097d64899a2cdf907608ce2d

( 3 imports )
> NTOSKRNL.EXE: IoDeleteDevice, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoCreateDevice, IofCompleteRequest, RtlZeroMemory, RtlInitUnicodeString, DbgPrint
> ntoskrnl.exe: KeServiceDescriptorTable, MmAllocateNonCachedMemory, MmIsAddressValid
> HAL.dll: KeLowerIrql, KeRaiseIrql

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b99575d16f887883b821d372ff292c20' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b99575d16f887883b821d372ff292c20</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b99575d16f887883b821d372ff292c20' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b99575d16f887883b821d372ff292c20</a>

2.

Code:

ATTFilter

 Datei HSFCXTS2.sys empfangen 2009.05.29 15:02:57 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.29	-
AhnLab-V3	5.0.0.2	2009.05.29	-
AntiVir	7.9.0.180	2009.05.29	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.29	-
Avast	4.8.1335.0	2009.05.29	-
AVG	8.5.0.339	2009.05.29	-
BitDefender	7.2	2009.05.29	-
CAT-QuickHeal	10.00	2009.05.29	-
ClamAV	0.94.1	2009.05.29	-
Comodo	1215	2009.05.29	-
DrWeb	5.0.0.12182	2009.05.29	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6528	2009.05.29	-
F-Prot	4.4.4.56	2009.05.29	-
F-Secure	8.0.14470.0	2009.05.29	-
Fortinet	3.117.0.0	2009.05.29	-
GData	19	2009.05.29	-
Ikarus	T3.1.1.57.0	2009.05.29	-
K7AntiVirus	7.10.749	2009.05.29	-
Kaspersky	7.0.0.125	2009.05.29	-
McAfee	5629	2009.05.28	-
McAfee+Artemis	5629	2009.05.28	-
McAfee-GW-Edition	6.7.6	2009.05.29	-
Microsoft	1.4701	2009.05.29	-
NOD32	4116	2009.05.29	-
Norman	6.01.05	2009.05.29	-
nProtect	2009.1.8.0	2009.05.29	-
Panda	10.0.0.14	2009.05.29	-
PCTools	4.4.2.0	2009.05.29	-
Prevx	3.0	2009.05.29	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.29	-
Sunbelt	3.2.1858.2	2009.05.29	-
Symantec	1.4.4.12	2009.05.29	-
TheHacker	6.3.4.3.334	2009.05.29	-
TrendMicro	8.950.0.1092	2009.05.29	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.29.1761	2009.05.29	-
VirusBuster	4.6.5.0	2009.05.28	-
weitere Informationen
File size: 685056 bytes
MD5...: 1225ebea76aac3c84df6c54fe5e5d8be
SHA1..: 613971d19540133337e69097415dfb55688c5884
SHA256: 48ef4217924d15d54f9b3e1d5e51944ff16e7832982d32a978a3fa8165417611
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9b380
timedatestamp.....: 0x40d22168 (Thu Jun 17 22:55:36 2004)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x71aea 0x71b00 6.48 d8831fc8475cfde0fbb883750d9f4a93
_LTEXT 0x71e80 0xc542 0xc580 6.55 82ff35a2a0cd1624fcb4f8ca37ccb5b4
.rdata 0x7e400 0x4ef0 0x4f00 5.71 14840c32b79763d2d84a496b47e42a28
.data 0x83300 0x11410 0x11480 0.92 cbd2752d4025b3feee368e753cbe7866
_LDATA 0x94780 0xdb 0x100 3.86 f095bcb52ec70b3ae366885c5926f0a9
PAGESER 0x94880 0x6a92 0x6b00 6.52 6b0415ce535eb8512456af128412f50e
INIT 0x9b380 0xbaa 0xc00 5.80 b6289973bce9af3081ab705e66196ede
.rsrc 0x9bf80 0x3a0 0x400 3.12 d0240dfad65446eb82a8cdfc74939e5c
.reloc 0x9c380 0xb034 0xb080 6.78 ac30e5d749597b9a4aa59a449e2f88ac

( 3 imports )
> ntoskrnl.exe: ZwQueryInformationFile, ZwCreateFile, RtlAppendUnicodeStringToString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlIntegerToUnicodeString, RtlUnicodeStringToInteger, IoIsWdmVersionAvailable, KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, IoGetDeviceObjectPointer, ObfDereferenceObject, KeReleaseSemaphore, KeQueryTimeIncrement, KeTickCount, _aulldiv, _allmul, KeQuerySystemTime, _alldiv, KeInsertQueueDpc, KeDelayExecutionThread, strncat, ExSetTimerResolution, IoCancelIrp, KeSetTimerEx, IoFreeIrp, IoAllocateIrp, ObReferenceObjectByHandle, PsCreateSystemThread, IofCompleteRequest, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, KeInitializeSemaphore, KeSetTimer, IoCreateSymbolicLink, RtlWriteRegistryValue, IoDeleteSymbolicLink, RtlDeleteRegistryValue, MmUnmapIoSpace, ZwReadFile, KeCancelTimer, IoDisconnectInterrupt, MmUnlockPagableImageSection, IoDeleteDevice, MmLockPagableDataSection, memmove, InterlockedExchange, KeSetPriorityThread, KeGetCurrentThread, PsTerminateSystemThread, KeInitializeTimer, IoGetDeviceProperty, IoCreateDevice, IoDetachDevice, KeInitializeDpc, KeInitializeSpinLock, InterlockedIncrement, KeSetEvent, InterlockedDecrement, PoCallDriver, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, PoStartNextPowerIrp, PoRequestPowerIrp, PoSetPowerState, KeClearEvent, ZwPowerInformation, ExUnregisterCallback, ExRegisterCallback, ExCreateCallback, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, atoi, IoBuildDeviceIoControlRequest, ExAllocatePoolWithTag, ExFreePool, ZwQueryValueKey, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, RtlFreeUnicodeString, RtlInitUnicodeString, RtlAppendUnicodeToString, ZwOpenKey, ZwEnumerateKey, RtlCopyUnicodeString, ZwDeleteKey, KeRemoveQueueDpc, ZwClose
> HAL.dll: KfLowerIrql, KfAcquireSpinLock, KfReleaseSpinLock, KfRaiseIrql, KeGetCurrentIrql
> WMILIB.SYS: WmiCompleteRequest

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2443.2: hsfcxts2.sys
> MSDN Disc 2443.4: hsfcxts2.sys
> MSDN Disc 2440.5: hsfcxts2.sys
> Operating System Reinstallation CD Microsoft Windows XP Professional Service Pack 2: hsfcxts2.sys
> MSDN Disc 2440.3: hsfcxts2.sys
> MSDN Disc 2466.2: hsfcxts2.sys
> Virtual PC for Mac Windows XP Home Edition: hsfcxts2.sys
> MSDN Disc 2441.6: hsfcxts2.sys
> MSDN Disc 2441.7: hsfcxts2.sys
> MSDN Disc 2466.4: hsfcxts2.sys
> MSDN Disc 2476.4: hsfcxts2.sys
> MSDN Disc 2455.6: hsfcxts2.sys
> MSDN Disc 2476.2: hsfcxts2.sys
> Disc 2438.5: hsfcxts2.sys
> MSDN Disc 2440.4: hsfcxts2.sys
> MSDN Disc 2444.3: hsfcxts2.sys
> MSDN Disc 2444.6: hsfcxts2.sys
> MSDN Disc 2444.4: hsfcxts2.sys
> MSDN Disc 2438.7: hsfcxts2.sys
> MSDN Disc 2477.2: hsfcxts2.sys
> MSDN Disc 2439.7: hsfcxts2.sys
> MSDN Disc 2439.6: hsfcxts2.sys
> MSDN Disc 2442.4: hsfcxts2.sys
> MSDN Disc 2442.6: hsfcxts2.sys
> MSDN Disc 2438.8: hsfcxts2.sys
> MSDN Disc 2465.4: hsfcxts2.sys
> MSDN Disc 2465.5: hsfcxts2.sys
> MSDN Disc 2464.5: hsfcxts2.sys
> MSDN Disc 2428.4: hsfcxts2.sys
> MSDN Disc 2439.8: hsfcxts2.sys
> MSDN Disc 2428.8: hsfcxts2.sys
> Virtual PC for Mac Windows XP Professional Edition: hsfcxts2.sys
> MSDN Disc 2428.5: hsfcxts2.sys
> MSDN Disc 2441.5: hsfcxts2.sys

( Gateway )

> Gateway Operating System Windows XP Pro Edition SP2: hsfcxts2.sys

SunOne · 29.05.2009, 16:11

hier bei der dritten datei gab es einen Fund!

3.

Code:

ATTFilter

 Datei cimo.ahc empfangen 2009.05.29 15:07:25 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/40 (2.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.29	-
AhnLab-V3	5.0.0.2	2009.05.29	-
AntiVir	7.9.0.180	2009.05.29	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.29	-
Avast	4.8.1335.0	2009.05.29	-
AVG	8.5.0.339	2009.05.29	-
BitDefender	7.2	2009.05.29	-
CAT-QuickHeal	10.00	2009.05.29	-
ClamAV	0.94.1	2009.05.29	-
Comodo	1215	2009.05.29	-
DrWeb	5.0.0.12182	2009.05.29	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6528	2009.05.29	-
F-Prot	4.4.4.56	2009.05.29	-
F-Secure	8.0.14470.0	2009.05.29	-
Fortinet	3.117.0.0	2009.05.29	-
GData	19	2009.05.29	-
Ikarus	T3.1.1.57.0	2009.05.29	-
K7AntiVirus	7.10.749	2009.05.29	-
Kaspersky	7.0.0.125	2009.05.29	-
McAfee	5629	2009.05.28	-
McAfee+Artemis	5629	2009.05.28	-
McAfee-GW-Edition	6.7.6	2009.05.29	-
Microsoft	1.4701	2009.05.29	-
NOD32	4116	2009.05.29	-
Norman	6.01.05	2009.05.29	-
nProtect	2009.1.8.0	2009.05.29	-
Panda	10.0.0.14	2009.05.29	-
PCTools	4.4.2.0	2009.05.29	-
Prevx	3.0	2009.05.29	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.29	Sus/RootKit-G
Sunbelt	3.2.1858.2	2009.05.29	-
Symantec	1.4.4.12	2009.05.29	-
TheHacker	6.3.4.3.334	2009.05.29	-
TrendMicro	8.950.0.1092	2009.05.29	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.29.1761	2009.05.29	-
VirusBuster	4.6.5.0	2009.05.29	-
weitere Informationen
File size: 41984 bytes
MD5...: 5a18c46a65d03f84986b7a286fc2f4ba
SHA1..: f220d83bcebe4f2a5e16a4aa42e4a82272f2443d
SHA256: 62b8949211abfb87a2349ca5ec77204b63e4e74331d3a4037b0b3d21fba6e674
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9585
timedatestamp.....: 0x492b695c (Tue Nov 25 02:56:28 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x8772 0x8780 6.37 3a2dd763bbc44140cc63b0bdc98a2c74
.rdata 0x8c00 0x374 0x380 3.95 6679d6dd4fa1d1cbeab63e9ed66709c7
.data 0x8f80 0x570 0x580 0.08 7c3ec214d95aca2d34baba5796b4c911
.edata 0x9500 0x6b 0x80 3.66 7e6dad70f78e5d366625da4fa38cbd28
INIT 0x9580 0x702 0x780 5.25 4dad4b2b4f8795c259d06321edcaf837
.reloc 0x9d00 0x6ba 0x700 5.26 fdd678032fa0d12861ea00f5c13b0e3d

( 2 imports )
> ntoskrnl.exe: IoCreateDevice, RtlInitUnicodeString, IoDeleteSymbolicLink, IofCompleteRequest, IoGetCurrentProcess, PsGetCurrentProcessId, ObReferenceObjectByHandle, ObfDereferenceObject, KeTickCount, KeQueryTimeIncrement, _allmul, ZwCreateFile, ZwClose, ZwReadFile, KeSetEvent, PsSetCreateProcessNotifyRoutine, RtlCompareMemory, KeServiceDescriptorTable, MmIsAddressValid, KeAddSystemServiceTable, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, strrchr, ExFreePoolWithTag, ExAllocatePool, ZwQuerySystemInformation, _stricmp, ProbeForRead, ProbeForWrite, memmove, memcpy, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, IoCreateSymbolicLink, RtlxUnicodeStringToAnsiSize, ObQueryNameString, ObOpenObjectByName, IofCallDriver, PoCallDriver, PoStartNextPowerIrp, IoIsWdmVersionAvailable, _wcsnicmp, ObReferenceObjectByPointer, IoAttachDeviceToDeviceStack, IoDetachDevice, IoGetDeviceObjectPointer, ObReferenceObjectByName, IoDriverObjectType, IoBuildAsynchronousFsdRequest, ExAllocatePoolWithTag, IoCancelIrp, IoGetDeviceProperty, IoRegisterPlugPlayNotification, IoUnregisterPlugPlayNotification, srand, rand, KeBugCheckEx, IoDeleteDevice, KeQuerySystemTime, NlsMbCodePageTag, memset, RtlUnwind
> HAL.dll: KfAcquireSpinLock, KeQueryPerformanceCounter, KfReleaseSpinLock

( 2 exports )
_SampleDouble@4, _SampleReadRegistry@0
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5a18c46a65d03f84986b7a286fc2f4ba' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5a18c46a65d03f84986b7a286fc2f4ba</a>

4.

Code:

ATTFilter

 Datei npptNT2.sys empfangen 2009.05.29 15:13:29 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.05.29	-
AhnLab-V3	5.0.0.2	2009.05.29	-
AntiVir	7.9.0.180	2009.05.29	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.29	-
Avast	4.8.1335.0	2009.05.29	-
AVG	8.5.0.339	2009.05.29	-
BitDefender	7.2	2009.05.29	-
CAT-QuickHeal	10.00	2009.05.29	-
ClamAV	0.94.1	2009.05.29	-
Comodo	1215	2009.05.29	-
DrWeb	5.0.0.12182	2009.05.29	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6528	2009.05.29	-
F-Prot	4.4.4.56	2009.05.29	-
F-Secure	8.0.14470.0	2009.05.29	-
Fortinet	3.117.0.0	2009.05.29	-
GData	19	2009.05.29	-
Ikarus	T3.1.1.57.0	2009.05.29	-
K7AntiVirus	7.10.749	2009.05.29	-
Kaspersky	7.0.0.125	2009.05.29	-
McAfee	5629	2009.05.28	-
McAfee+Artemis	5629	2009.05.28	-
McAfee-GW-Edition	6.7.6	2009.05.29	-
Microsoft	1.4701	2009.05.29	-
NOD32	4116	2009.05.29	-
Norman	6.01.05	2009.05.29	-
nProtect	2009.1.8.0	2009.05.29	-
Panda	10.0.0.14	2009.05.29	-
PCTools	4.4.2.0	2009.05.29	-
Prevx	3.0	2009.05.29	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.29	-
Sunbelt	3.2.1858.2	2009.05.29	-
Symantec	1.4.4.12	2009.05.29	-
TheHacker	6.3.4.3.334	2009.05.29	-
TrendMicro	8.950.0.1092	2009.05.29	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.29.1761	2009.05.29	-
VirusBuster	4.6.5.0	2009.05.29	-
weitere Informationen
File size: 4682 bytes
MD5...: 9131fe60adfab595c8da53ad6a06aa31
SHA1..: 2011c23d7927e42647c17f4c0f77dc308d447e6d
SHA256: 25284cae27071fa4391765862a81f9bdfc5398abf4ccf4e2df5b0972cfe66e72
ssdeep: -
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x41dcddfa (Thu Jan 06 06:43:06 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1d0 0x200 5.26 7ce94316cc0a6fe89eec2e7b70a94c9f
.rdata 0x2000 0x1ae 0x200 4.14 05e3b9dd94c922755354b16714b9f57b
.data 0x3000 0x1fc 0x200 4.71 d42d4e4e0c86c70f3b45d8b284fbb020
.rsrc 0x4000 0x4b0 0x600 2.79 b43ec6e23d043d44322fc6af4e0b47aa
.reloc 0x5000 0x70 0x200 1.17 936e7583654b27a98019f9f87713f1a5

( 1 imports )
> ntoskrnl.exe: MmAllocateNonCachedMemory, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, Ke386SetIoAccessMap, Ke386IoSetAccessProcess, IoGetCurrentProcess, MmFreeNonCachedMemory, IoDeleteSymbolicLink

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9131fe60adfab595c8da53ad6a06aa31' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9131fe60adfab595c8da53ad6a06aa31</a>

Prevx scan im nexten post!

SunOne · 29.05.2009, 16:19

ABER BITTE schreibe mir keine schritte, die mir helfen
sro_client.exe und autopotion.exe loszuwerden

die brauche ich nämlich ;P

SunOne · 29.05.2009, 20:24

seltsam 2 infektionen mehr -.-, ich komm nicht mehr klar!

Chris4You · 30.05.2009, 09:54

Hi,

erstmal prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\windows\system32\ascbalo3n.dll
c:\windows\system32\ascbalon.dll
c:\windows\mota113.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung,

alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls erkannt:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
c:\windows\system32\ascbalo3n.dll
c:\windows\system32\ascbalon.dll
c:\windows\mota113.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

So, den Eintrag:
C:\WINDOWS\system32\drivers\cimo.ahc
Lassen wir mal von Kapi prüfen, die sind da immer recht schnell:

Zitat:

Sollten Sie ein neues verdächtiges virenähnliches Objekt in Ihrem Computer entdeckt haben, schicken Sie es (als Anhang) an : newvirus@kaspersky.com mit einem Vermerk"Virus" in der Zeile "Subject".

Normalerweise kommt innerhalb von 2h Feedback...

Onlinescann mit Kapi:
http://www.kaspersky.com/de/virusscanner

Für was brauchst Du die beiden anderen:
(sro_client.exe und autopotion.exe)?

chris

SunOne · 30.05.2009, 12:49

okay werde es tun und dann den beitrag editieren

die anderen beiden brauche ich deswegen,
weil das ein privatserver fürn onlinegame ist,
würde ich die dateien löschen, würde diese nicht mehr funzen!

:P deshalb brauche ich diese dateien!

Recycler Virus!

Log-Analyse und Auswertung: Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Recycler Virus!

Ähnliche Themen: Recycler Virus!

28.05.2009, 13:43	#2
Chris4You	Recycler Virus! Hi, als erstes wäre es recht hilfreich zu wissen was wo gefunden wurde... Dann bitte alles was unter dem Link "Erstbeitrag" in der Signatur steht abarbeiten... chris __________________ __________________

29.05.2009, 08:21	#6
Chris4You	Recycler Virus! Hi, MAM sieht gut aus, bitte noch RSIT-Log posten... chris __________________ --> Recycler Virus!

29.05.2009, 16:19	#12
SunOne	Recycler Virus! ABER BITTE schreibe mir keine schritte, die mir helfen sro_client.exe und autopotion.exe loszuwerden die brauche ich nämlich ;P

29.05.2009, 20:24	#13
SunOne	Recycler Virus! seltsam 2 infektionen mehr -.-, ich komm nicht mehr klar!

30.05.2009, 12:49	#15
SunOne	Recycler Virus! okay werde es tun und dann den beitrag editieren die anderen beiden brauche ich deswegen, weil das ein privatserver fürn onlinegame ist, würde ich die dateien löschen, würde diese nicht mehr funzen! :P deshalb brauche ich diese dateien!