Schönen guten Abend,

ich habe vor gut einer Woche mein bestelltes Dell Studio XPS 1340 erhalten.
Windows Vista 32-Bit-Betriebssystem
Intel Core 2 Duo CPU, P8600 2,4 GHz
NVIDIA GeForce 9500M (GF 9200MGS + GF 9400MG)

So weit so gut, eine Woche hat es getan was es sollte, dh. Office-Anwendungen, Poker, WinAmp und die Games FM 2009 sowie Assassins Creed.
Heute kommt ohne unmittelbaren Grund plötzlich ein Bluescreen, der mir berichtet, er müsse zu meines Laptops Sicherheit herunterfahren
Ich schaue dem gespannt zu und lasse ihn wieder hochbooten, mache daraufhin ein Screening mit dem vorinstallierten McAfee Security Center. Der meldet mir 2 entdeckte Trojaner der Marke "NTOSKRNL-HOOK", Entdeckungsname "Generic Rootkit.d!rootkit". Ich gucke also im Internet, was ist das denn überhaupt? In diesem moment erscheint erneut der Bluescreen, besagter Inhalt. Dumm nur, dass er mir den Bluescreen nun jedesmal andreht, soabld ich mich wieder anmelden will.
Der nächste Schritt war dann der Abgesicherte Modus, in dem ich mich momentan befinde. Nach diversen Suchen über Google habe ich dann diverse Programme (Malwarebytes' Anti-Malware, Combifix), die sich aber nicht öffnen lassen, sobald sie heruntergeladen worden sind.
Auch die Reinstallations-CD mit Reparaturmodus hat mch nicht weiterbringen können, was im Endeffekt heißt: Ich bitte um HILFE!

Hallo und

Schließe alle Anwendungen und lass folgendes laufen:

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ciao, andreas

Danke dir erstmal für die fixe Antwort Leider komme ich nur bis zur Auswahl der Platte C, danach initialisiert er und plötzlich ist er weg, wie die anderen Programme auch. Ich hoffe doch ich blamiere mich jetzt nicht...

Benenne es um in Quiek.exe und versuche es nochmal.

ciao, andreas

Dasselbe in grün. Er bringt mir übrigens (das hatte ich vorhin vergessen zu schreiben) die Nachricht, dass ich die exe auf eigene Gefahr ausführe und nicht garantiert werden kann dass es im Safe Mode funktioniert.

Wie ist es mit anderen Programmen, also nicht mit Sicherheitsprogrammen, sondern "normalen"? Gibt es dort auch Probleme?

Versuche combofix.exe in cofi.exe umzubenennen und zu starten.

ciao, andreas

Das Combofix-log war etwas länger als die maximal erlaubte Menge. Hier nun der Rest:

Code: Alles auswählenAufklappen

ATTFilter

------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\users\Simon Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\2atfw96r.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-03 19:48
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCD5SRVC{3F6A8B78-EC003E00-05040104}]
"ImagePath"="\??\c:\progra~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2535819533-2747421840-1184969224-1000\Software\SecuROM\License information*]
"datasecu"=hex:d7,9e,1c,5b,8c,64,5a,4e,4b,a9,01,de,14,ab,3e,6e,ab,a9,3f,29,c1,
   d3,8e,f6,36,d1,69,d8,46,8d,28,86,4f,4d,ff,0a,ca,e3,80,a2,c1,b0,0f,ff,8c,2f,\
"rkeysecu"=hex:9e,b3,56,b2,01,5f,12,7e,dd,4a,18,5f,a9,de,b5,b8

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(668)
c:\windows\system32\FAPassSync.dll

- - - - - - - > 'Explorer.exe'(720)
c:\windows\system32\NVSVC.DLL
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\stacsv.exe
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\System32\rpcnet.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\rundll32.exe
c:\program files\Sensible Vision\Fast Access\FATrayAlert.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\WIDCOMM\Bluetooth Software\BTStackServer.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\program files\Dell Support Center\gs_agent\dsc.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-03 19:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-06-03 17:50

Vor Suchlauf: 15 Verzeichnis(se), 426.405.957.632 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 426.264.256.512 Bytes frei

343	--- E O F ---	2009-06-02 14:24
         

Wurde der Rechner erst kürzlich neuinstalliert?

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

5.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung abarbeiten)

ciao, andreas

Der Reihe nach: Normale Programme laufen ohne Probleme.
Ich habe ComboFix nocheinmal runtergeladen und deinem Rat nach benannt, und es tat sich was! Ein Fenster DOS-Manier, ähnlich der Eingabeaufforderung, öffnete sich, und gleich darauf ein Pop-Up mit der nachricht, auf meinem laptop gebe es Rootkit-Aktivitäten und er möchte das System sofort runterfahren. Die folgenden Pfade soll ich mir aufschreiben:

C:\Windows\system32\gxvxcfsyqwdrg... .sys
C:\Windows\system32\gxvxc.... .dll
C:\Windows\system32\gxvxc.... .dll

Daraufhin habe ich RootRepeal noch einmal geladen, umbenannt, und es öffnete sich auch da für eine Millisekunde ein Fenster, um dann zu verschwinden.

Da ist das Problem, ich brauche die genauen Dateinamen, ansonsten habe ich keine Chance. Bitte notiere dir jeden Buchstaben und kontrolliere zur Sicherheit nochmal.

ciao, andreas

p.s.: Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort den Treiber gxvxc..... deaktivieren => Rechner neustarten, nochmal probieren.

Das Laptop hab ich erst vor ner guten Woche bekommen

Qoobox:

http://www.materialordner.de/b4J5Z9ICPjZcjqliOLhUYu2MEw9lcLHe.html

Code: Alles auswählenAufklappen

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-06-03 20:56:30

======Uninstall list======

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88564CEF-20A5-4EF2-A05F-309F2EBA9B06}\setup.exe" -l0x7 
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC12448A-0B41-4E11-B242-B1129512F5B7}\setup.exe" -l0x7 
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Advanced Audio FX Engine-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88564CEF-20A5-4EF2-A05F-309F2EBA9B06}\setup.exe" -l0x7  /remove
Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x0007 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Dell DataSafe Online-->MsiExec.exe /X{13766F76-6C8C-4E57-A9F3-3212D1C6E0D1}
Dell Dock-->MsiExec.exe /I{F6CB42B9-F033-4152-8813-FF11DA8E6A78}
Dell Edoc Viewer-->MsiExec.exe /I{3138EAD3-700B-4A10-B617-B3F8096EE30D}
Dell Getting Started Guide-->MsiExec.exe /I{7DB9F1E5-9ACB-410D-A7DC-7A3D023CE045}
Dell Support Center (Support Software)-->MsiExec.exe /X{E3BFEE55-39E2-4BE0-B966-89FE583822C1}
Dell Touchpad-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Dell Video Chat-->C:\Program Files\Dell Video Chat\uninst.exe
Dell Webcam Central-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC12448A-0B41-4E11-B242-B1129512F5B7}\setup.exe" -l0x7  /remove
FastAccess-->MsiExec.exe /I{6E26273A-9DB8-4412-85FA-B8EC78ECB46A}
FUSSBALL MANAGER 09-->C:\Program Files\EA SPORTS\FUSSBALL MANAGER 09\eauninstall.exe
GoToAssist 8.0.0.514-->C:\Program Files\Citrix\GoToAssist\514\G2AUninstaller.exe /uninstall
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Integrated Webcam Driver (1.06.03.0309)  -->C:\Windows\CtDrvIns.exe -uninstall -script OA001.uns -plugin OA001Pin.dll -pluginres OA001Pin.crl -nodisconprompt -langid 0x0407
ITECIR-->C:\Program Files\InstallShield Installation Information\{F6BB6248-C507-46FE-8A35-1B16F35E0441}\setup.exe -runfromtemp -l0x0007 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Junk Mail filter update-->MsiExec.exe /I{4AB8B41B-3AF1-46BE-99B0-0ACD3B300C0A}
Live! Cam Avatar Creator-->C:\Program Files\InstallShield Installation Information\{65D0C510-D7B6-4438-9FC8-E6B91115AB0D}\setup.exe -runfromtemp -l0x0007 -removeonly /remove
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /I{299CF645-48C7-4FA1-8BCD-5CE200CF180D}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Miranda IM 0.7.19-->C:\Program Files\Miranda IM\Uninstall.exe
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
PokerTH-->C:\Program Files\PokerTH\uninstall.exe
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -l0x7  -cluninstall
QuickSet-->MsiExec.exe /I{C4972073-2BFE-475D-8441-564EA97DA161}
Roxio Creator Audio-->MsiExec.exe /I{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}
Roxio Creator Copy-->MsiExec.exe /I{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}
Roxio Creator Data-->MsiExec.exe /I{08E81ABD-79F7-49C2-881F-FD6CB0975693}
Roxio Creator DE-->C:\ProgramData\Uninstall\{09760D42-E223-42AD-8C3E-55B47D0DDAC3}\setup.exe /x {09760D42-E223-42AD-8C3E-55B47D0DDAC3}
Roxio Creator DE-->MsiExec.exe /I{ED439A64-F018-4DD4-8BA5-328D85AB09AB}
Roxio Creator Tools-->MsiExec.exe /I{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}
Roxio Express Labeler 3-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Roxio Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
WIDCOMM Bluetooth Software 6.1.0.4402-->MsiExec.exe /X{03D1988F-469F-4843-8E6E-E5FE9D17889D}
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{B5BCBD49-202F-4238-8398-D83D423A48B4}
Windows Live Call-->MsiExec.exe /I{835686C5-8650-49EB-8CA0-4528B4035495}
Windows Live Communications Platform-->MsiExec.exe /I{F69E83CF-B440-43F8-89E6-6EA80712109B}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{DF5F687F-8018-4542-9F98-7084E9022917}
Windows Live Fotogalerie-->MsiExec.exe /X{6B96DADA-1A27-4A04-8CB2-CC45168D05FA}
Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live Sync-->MsiExec.exe /X{8C1E2925-14F8-45AA-B999-1E2A74BF5607}
Windows Live Toolbar-->MsiExec.exe /X{566BAEC0-74CB-4ACC-9E18-8779AC974FB0}
Windows Live Writer-->MsiExec.exe /X{81821BF8-DA20-4F8C-AA87-F70A274828D4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Diagnosediensthost" befindet sich jetzt im Status "Ausgeführt".
Record Number: 26317
Source Name: Service Control Manager
Time Written: 20090603175942.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 26318
Source Name: Service Control Manager
Time Written: 20090603180132.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 26319
Source Name: Service Control Manager
Time Written: 20090603181512.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Diagnosediensthost" befindet sich jetzt im Status "Beendet".
Record Number: 26320
Source Name: Service Control Manager
Time Written: 20090603182758.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 7036
Message: Dienst "Geschützter Speicher" befindet sich jetzt im Status "Ausgeführt".
Record Number: 26321
Source Name: Service Control Manager
Time Written: 20090603185009.000000-000
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: SimonLaptop-PC
Event Code: 221
Message: WinMail (5420) WindowsMail0: Sicherung der Datei C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\WindowsMail.MSMessageStore wird beendet.
Record Number: 1294
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 223
Message: WinMail (5420) WindowsMail0: Sicherung von Protokolldateien (Bereich C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00003.log - C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00003.log) wird gestartet. 
Record Number: 1295
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 224
Message: WinMail (5420) WindowsMail0: Protokolldateien C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00002.log bis C:\Users\Simon Laptop\AppData\Local\Microsoft\Windows Mail\edb00002.log werden gelöscht. 
Record Number: 1296
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 213
Message: WinMail (5420) WindowsMail0: Die Sicherung wurde erfolgreich abgeschlossen.
Record Number: 1297
Source Name: ESENT
Time Written: 20090603185009.000000-000
Event Type: Informationen
User: 

Computer Name: SimonLaptop-PC
Event Code: 103
Message: WinMail (5420) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 1298
Source Name: ESENT
Time Written: 20090603185222.000000-000
Event Type: Informationen
User: 

=====Security event log=====

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys	
Record Number: 2360
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.514761-000
Event Type: Überwachung gescheitert
User: 

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys	
Record Number: 2361
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.561561-000
Event Type: Überwachung gescheitert
User: 

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys	
Record Number: 2362
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.592761-000
Event Type: Überwachung gescheitert
User: 

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys	
Record Number: 2363
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.608361-000
Event Type: Überwachung gescheitert
User: 

Computer Name: SimonLaptop-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\System32\drivers\tcpip.sys	
Record Number: 2364
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090603185628.639561-000
Event Type: Überwachung gescheitert
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Common Files\Roxio Shared\DLLShared;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\

-----------------EOF-----------------
         

PHP-Code:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Simon Laptop at 2009-06-03 20:56:18
Microsoft® Windows Vista™ Home Premium  Service Pack 1
System drive C: has 406 GB (88%) free of 461 GB
Total RAM: 2301 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:29, on 03.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Dell\DellDock\DellDock.exe
C:\Windows\system32\conime.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Sensible Vision\Fast Access\FATrayMon.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Sensible Vision\Fast Access\FATrayAlert.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\Explorer.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Simon Laptop\Desktop\RSIT.exe
C:\Program Files\trend micro\Simon Laptop.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FAIESSO Helper Object - {A2F122DA-055F-4df7-8F24-7354DBDBA85B} - C:\Program Files\Sensible Vision\Fast Access\FAIESSO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Dell DataSafe Online] "C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe" /m
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [FATrayAlert] C:\Program Files\Sensible Vision\Fast Access\FATrayMon.exe
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" /mode2
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O20 - Winlogon Notify: FastAccess - C:\Program Files\Sensible Vision\Fast Access\FALogNot.dll
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: FAService - Sensible Vision  - C:\Program Files\Sensible Vision\Fast Access\FAService.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32\rpcnet.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 7749 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2008-12-04 92504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2008-11-18 408952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A2F122DA-055F-4df7-8F24-7354DBDBA85B}]
FAIESSOHelper Class - C:\Program Files\Sensible Vision\Fast Access\FAIESSO.dll [2009-03-07 206088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2008-12-08 1067352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2008-12-08 1067352]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-11-12 1422632]
"SysTrayApp"=C:\Program Files\IDT\WDM\sttray.exe [2009-03-30 483428]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2009-04-29 13552160]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2009-04-29 92704]
"NVHotkey"=C:\Windows\system32\nvHotkey.dll [2009-04-29 96800]
"Adobe Reader Speed Launcher"=c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"Dell DataSafe Online"=C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe [2008-11-03 1745648]
"PDVDDXSrv"=C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe [2008-07-29 128296]
"FATrayAlert"=C:\Program Files\Sensible Vision\Fast Access\FATrayMon.exe [2009-03-07 95496]
"Dell Webcam Central"=C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell2.exe [2009-01-09 405639]
"dellsupportcenter"=C:\Program Files\Dell Support Center\bin\sprtcmd.exe [2009-01-30 206064]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Bluetooth.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Users\Simon Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Dell Dock.lnk - C:\Program Files\Dell\DellDock\DellDock.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\FastAccess]
C:\Program Files\Sensible Vision\Fast Access\FALogNot.dll [2009-03-07 140552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GoToAssist]
C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll [2009-05-26 10536]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
FAPassSync

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\GoToAssist]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rootrepeal.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-06-03 20:56:19 ----D---- C:\Program Files\trend micro
2009-06-03 20:56:18 ----D---- C:\rsit
2009-06-03 20:38:58 ----D---- C:\Users\Simon Laptop\AppData\Roaming\WinRAR
2009-06-03 20:38:44 ----D---- C:\Program Files\WinRAR
2009-06-03 20:08:00 ----A---- C:\Windows\system32\rpcnet.dll
2009-06-03 19:50:29 ----A---- C:\ComboFix.txt
2009-06-03 19:48:19 ----SHD---- C:\$RECYCLE.BIN
2009-06-03 19:46:51 ----D---- C:\Windows\temp
2009-06-03 19:42:50 ----SD---- C:\Cofi
2009-06-03 19:40:48 ----D---- C:\Qoobox
2009-06-03 01:59:13 ----D---- C:\Users\Simon Laptop\AppData\Roaming\Mozilla
2009-06-03 00:55:54 ----D---- C:\Users\Simon Laptop\AppData\Roaming\GHISLER
2009-06-03 00:55:54 ----D---- C:\totalcmd
2009-06-03 00:47:42 ----D---- C:\Windows\Internet Logs
2009-06-03 00:42:34 ----D---- C:\ProgramData\Avira
2009-06-03 00:42:34 ----D---- C:\Program Files\Avira
2009-06-03 00:19:12 ----D---- C:\Users\Simon Laptop\AppData\Roaming\Malwarebytes
2009-06-02 23:10:06 ----D---- C:\Program Files\CCleaner
2009-06-02 22:15:03 ----A---- C:\Windows\zip.exe
2009-06-02 22:15:03 ----A---- C:\Windows\SWXCACLS.exe
2009-06-02 22:15:03 ----A---- C:\Windows\SWSC.exe
2009-06-02 22:15:03 ----A---- C:\Windows\SWREG.exe
2009-06-02 22:15:03 ----A---- C:\Windows\sed.exe
2009-06-02 22:15:03 ----A---- C:\Windows\PEV.exe
2009-06-02 22:15:03 ----A---- C:\Windows\NIRCMD.exe
2009-06-02 22:15:03 ----A---- C:\Windows\grep.exe
2009-06-02 21:22:49 ----D---- C:\Windows\ERDNT
2009-06-02 19:51:35 ----D---- C:\ProgramData\Malwarebytes
2009-06-02 19:51:35 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-02 19:36:14 ----A---- C:\Windows\system32\MPFServiceFailureCount.txt
2009-06-02 16:34:24 ----D---- C:\Windows\Minidump
2009-06-02 16:22:43 ----A---- C:\Windows\system32\mshtmler.dll
2009-06-02 16:22:43 ----A---- C:\Windows\system32\mshtmled.dll
2009-06-02 16:22:43 ----A---- C:\Windows\system32\ieui.dll
2009-06-02 16:22:43 ----A---- C:\Windows\system32\icardie.dll
2009-06-02 16:22:43 ----A---- C:\Windows\system32\admparse.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\msls31.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\msfeedsbs.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\jsproxy.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\imgutil.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\iernonce.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\iepeers.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\ieakeng.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\dxtrans.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\dxtmsft.dll
2009-06-02 16:22:42 ----A---- C:\Windows\system32\corpol.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\WinFXDocObj.exe
2009-06-02 16:22:41 ----A---- C:\Windows\system32\wextract.exe
2009-06-02 16:22:41 ----A---- C:\Windows\system32\webcheck.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\occache.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\mstime.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\msrating.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\msfeedssync.exe
2009-06-02 16:22:41 ----A---- C:\Windows\system32\msfeeds.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\licmgr10.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\inseng.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\iesetup.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\ieakui.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\ieaksie.dll
2009-06-02 16:22:41 ----A---- C:\Windows\system32\advpack.dll
2009-06-02 16:22:40 ----A---- C:\Windows\system32\vbscript.dll
2009-06-02 16:22:40 ----A---- C:\Windows\system32\url.dll
2009-06-02 16:22:40 ----A---- C:\Windows\system32\pngfilt.dll
2009-06-02 16:22:40 ----A---- C:\Windows\system32\jscript.dll
2009-06-02 16:22:40 ----A---- C:\Windows\system32\iedkcs32.dll
2009-06-02 16:22:40 ----A---- C:\Windows\system32\ieapfltr.dll
2009-06-02 16:22:39 ----A---- C:\Windows\system32\wininet.dll
2009-06-02 16:22:39 ----A---- C:\Windows\system32\SetIEInstalledDate.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\SetDepNx.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\RegisterIEPKEYs.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\PDMSetup.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\mshta.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\iexpress.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\ieUnatt.exe
2009-06-02 16:22:39 ----A---- C:\Windows\system32\iesysprep.dll
2009-06-02 16:22:39 ----A---- C:\Windows\system32\iertutil.dll
2009-06-02 16:22:39 ----A---- C:\Windows\system32\ie4uinit.exe
2009-06-02 16:22:38 ----A---- C:\Windows\system32\urlmon.dll
2009-06-02 16:22:38 ----A---- C:\Windows\system32\ieframe.dll
2009-06-02 16:22:37 ----A---- C:\Windows\system32\mshtml.dll
2009-06-01 14:12:44 ----D---- C:\Users\Simon Laptop\AppData\Roaming\Ubisoft
2009-06-01 14:08:58 ----D---- C:\ProgramData\Ubisoft
2009-06-01 14:08:32 ----A---- C:\Windows\system32\xactengine2_10.dll
2009-06-01 14:08:31 ----A---- C:\Windows\system32\xactengine2_9.dll
2009-06-01 14:08:31 ----A---- C:\Windows\system32\d3dx9_36.dll
2009-06-01 14:08:31 ----A---- C:\Windows\system32\d3dx10_36.dll
2009-06-01 14:08:31 ----A---- C:\Windows\system32\d3dx10_35.dll
2009-06-01 14:08:31 ----A---- C:\Windows\system32\D3DCompiler_36.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\xinput1_3.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\xactengine2_8.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\X3DAudio1_2.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\d3dx9_35.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\d3dx9_34.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\d3dx10_34.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\D3DCompiler_35.dll
2009-06-01 14:08:30 ----A---- C:\Windows\system32\D3DCompiler_34.dll
2009-06-01 14:08:29 ----A---- C:\Windows\system32\xactengine2_7.dll
2009-06-01 14:08:29 ----A---- C:\Windows\system32\xactengine2_6.dll
2009-06-01 14:08:29 ----A---- C:\Windows\system32\d3dx9_33.dll
2009-06-01 14:08:29 ----A---- C:\Windows\system32\d3dx10_33.dll
2009-06-01 14:08:29 ----A---- C:\Windows\system32\D3DCompiler_33.dll
2009-06-01 14:08:28 ----A---- C:\Windows\system32\xactengine2_5.dll
2009-06-01 14:08:28 ----A---- C:\Windows\system32\d3dx10.dll
2009-06-01 14:08:27 ----A---- C:\Windows\system32\xinput1_2.dll
2009-06-01 14:08:27 ----A---- C:\Windows\system32\xactengine2_4.dll
2009-06-01 14:08:27 ----A---- C:\Windows\system32\xactengine2_3.dll
2009-06-01 14:08:27 ----A---- C:\Windows\system32\xactengine2_2.dll
2009-06-01 14:08:27 ----A---- C:\Windows\system32\x3daudio1_1.dll
2009-06-01 14:08:27 ----A---- C:\Windows\system32\d3dx9_31.dll
2009-06-01 14:08:26 ----A---- C:\Windows\system32\xinput1_1.dll
2009-06-01 14:08:26 ----A---- C:\Windows\system32\xactengine2_1.dll
2009-06-01 14:08:18 ----A---- C:\Windows\system32\xactengine2_0.dll
2009-06-01 14:08:18 ----A---- C:\Windows\system32\x3daudio1_0.dll
2009-06-01 14:08:18 ----A---- C:\Windows\system32\d3dx9_29.dll
2009-06-01 14:08:17 ----A---- C:\Windows\system32\d3dx9_28.dll
2009-06-01 14:08:17 ----A---- C:\Windows\system32\d3dx9_27.dll
2009-06-01 14:08:17 ----A---- C:\Windows\system32\d3dx9_26.dll
2009-06-01 14:08:17 ----A---- C:\Windows\system32\d3dx9_25.dll
2009-06-01 14:08:16 ----A---- C:\Windows\system32\d3dx9_24.dll
2009-06-01 13:52:13 ----D---- C:\Program Files\Ubisoft
2009-06-01 13:51:44 ----D---- C:\Users\Simon Laptop\AppData\Roaming\InstallShield 


C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys

C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll

C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys
C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll
C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll
C:\Windows\system32\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys
C:\Windows\system32\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll
C:\Windows\system32\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Avenger.txt

PHP-Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gxvxcserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gxvxcfsyqwdrgqfvphbnceaiooiqgnetwiuit.sys 
Start Type:  1 (System)

Rootkit scan completed.


Error:  file "C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll" not found!
Deletion of file "C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" not found!
Deletion of file "C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\system32\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" not found!
Deletion of file "C:\Windows\system32\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\system32\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll" deleted successfully.

Error:  file "C:\Windows\system32\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" not found!
Deletion of file "C:\Windows\system32\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate. 


Den CC-Cleaner habe ich auch angewandt, hat funktioniert. Dann öffne ich Combofix und stelle erst mal fest, dass ich keine Adminrechte habe. Das ganze als Admin nochmal geöffnet, aber keine Reaktion. Daraufhin dann dieselben Meldungen über Rootkit-Aktivitäten in besagten Dateien und Abschuss.