virus in //?/globalroot/systemroot/

donny711 · 18.07.2009, 23:35

hallo community
ihr seid meine letzte hoffnung vor dem system neu aufsetzen...
ich habe mir einen virus eingefangen, welche ich erhoffe hier beheben zu können.
ich habe bereits diverse seiten auf google gesucht und mehreres schon versucht. darunter fällt
- spybot search & destroy
- ComboFix
- DrWeb CureIt
- GMER
- HiJackThis
- SmitFraudFix
- VundoFix
- CCleaner
- Malwarebytes' Anti-Maleware

leider hat nichts geholfen...
mein problem liegt darin, das ich mit irgendwie nen virus eingehandelt hab, der
1. sich bei der google-suche bemerkbar macht...siehe bild hier:

egal was ich bei google suche, ich werde auf sowas weitergeleitet...

2. bekomme ich ab und zu von leechget eine download-meldung, das ich eine datei download runterladen soll...siehte bild:

3. hab ich mir den security taskmanager geladen und habe dieses hier festgestellt:

sämtliche scan-vorgänge kann ich nur noch im abgesichertem modus von windows machen, weil sonst mein rechner sofort abbricht und neustartet!
habe mit dem programm GMER gescannt und diese logfile erstellt, wo auch unten in der globalroot diese DLL angezeigt wird:

Zitat:

GMER 1.0.15.14972 - http://w*w.gmer.net
Rootkit scan 2009-07-19 00:18:03
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

INT 0x62 ? 8736ABF8
INT 0x82 ? 8736ABF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8

Code 871091F0 ZwEnumerateKey
Code 871081F0 ZwFlushInstructionCache
Code 8716E266 ZwSaveKey
Code 8710A1EE ZwSaveKeyEx
Code 8710C1E6 IofCallDriver
Code 8710C536 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8710C1EB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 8710C53B
PAGE ntoskrnl.exe!ZwEnumerateKey 8056EF30 5 Bytes JMP 871091F4
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80576A6A 5 Bytes JMP 871081F4
PAGE ntoskrnl.exe!ZwSaveKey 8064C1EF 5 Bytes JMP 8716E26A
PAGE ntoskrnl.exe!ZwSaveKeyEx 8064C287 5 Bytes JMP 8710A1F2
? spnn.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F728562C 5 Bytes JMP 872551D8

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\winlogon.exe[264] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 007E000A
.text C:\WINDOWS\system32\services.exe[312] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\savedump.exe[324] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0073000A
.text C:\WINDOWS\system32\lsass.exe[332] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0064000A
.text F:\Ad-Aware 2007\aawservice.exe[620] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 00BE000A
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 873D85E0
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7540C4C] spnn.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7540CA0] spnn.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7510040] spnn.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F751013C] spnn.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F75100BE] spnn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F75107FC] spnn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75106D2] spnn.sys
IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 872552D8
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7520048] spnn.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 873691F8
Device \Driver\usbuhci \Device\USBPDO-0 872451F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 873D61F8
Device \Driver\dmio \Device\DmControl\DmConfig 873D61F8
Device \Driver\dmio \Device\DmControl\DmPnP 873D61F8
Device \Driver\dmio \Device\DmControl\DmInfo 873D61F8
Device \Driver\usbuhci \Device\USBPDO-1 872451F8
Device \Driver\usbuhci \Device\USBPDO-2 872451F8
Device \Driver\usbuhci \Device\USBPDO-3 872451F8
Device \Driver\usbehci \Device\USBPDO-4 872371F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8736B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8736A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8736A1F8
Device \Driver\atapi \Device\Ide\IdePort1 8736A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8736A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 8736A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume6 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume7 8736B1F8
Device \Driver\usbuhci \Device\USBFDO-0 872451F8
Device \Driver\usbuhci \Device\USBFDO-1 872451F8
Device \Driver\usbuhci \Device\USBFDO-2 872451F8
Device \Driver\PCI_PNP4896 \Device\0000006e spnn.sys
Device \Driver\usbuhci \Device\USBFDO-3 872451F8
Device \Driver\usbehci \Device\USBFDO-4 872371F8
Device \Driver\Ftdisk \Device\FtControl 8736B1F8
Device \Driver\amesvywo \Device\Scsi\amesvywo1 872561F8
Device \Driver\amesvywo \Device\Scsi\amesvywo1Port2Path0Target0Lun0 872561F8
Device \Driver\sptd \Device\2693573646 spnn.sys
Device \FileSystem\Cdfs \Cdfs 871E61F8
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [264] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [312] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\savedump.exe [324] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [332] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [564] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ F:\Ad-Aware 2007\aawservice.exe [620] 0x00BC0000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [856] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [932] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\wbem\wmiprvse.exe [1108] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\Administrator\Desktop\viren bekämpfung\sfrw10ph.exe [1308] 0x10000000

---- EOF - GMER 1.0.15 ----

is viel log...aber hoffe ihr könnt was daraus erkennen...bei fragen und neuen logs bin ich direkt zu stelle...
ich hoffe ihr könnt mir bei meinem problem weiterhelfen...
vielen dank für die mühe schonmal im vorraus...

lg
donny

donny711 · 18.07.2009, 23:37

hier ist die HijackThis logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:56, on 18.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
F:\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
c:\dokumente und einstellungen\administrator\eigene dateien\my clicker scripts\unlocker\acdservice.exe
F:\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Digidesign\Drivers\MMERefresh.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\System32\svchost.exe
F:\Nero 8\InCD\InCDsrv.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\Nero 8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
f:\SpamBully 4 for Outlook Express\sb4service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
f:\Virtual CD v9\System\VC9SecS.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Logi_MwX.Exe
F:\Nero 8\InCD\NBHGui.exe
F:\Nero 8\InCD\InCD.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
F:\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
F:\Samsung New PC Studio\NPSAgent.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Media Player\WMPNSCFG .exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\NOTEPAD.EXE
f:\LeechGet 2007\LeechGet.exe
F:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Policies.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis\Administrator.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {61DC85A0-4A32-4c38-92CF-24652B3F416C} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - F:\Snagit\SnagItIEAddin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] F:\Nero 8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] F:\Nero 8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] REM "F:\Nero 8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVMWlanClient] REM C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] f:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinClicker.exe] REM "F:\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] REM "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] REM "f:\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [BitTorrent DNA] REM "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\DAEMON Tools\daemon.exe" -autorun
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AutoStartNPSAgent] F:\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] f:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "F:\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download mit &Ultimate Download Manager - F:\WinSysClean 2008\UDManager\UDManager.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://f:\LeechGet 2007\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://f:\LeechGet 2007\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://f:\LeechGet 2007\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - F:\WinSysClean 2008\UDManager\UDManager.exe
O9 - Extra 'Tools' menuitem: Ultimate Download Manager - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - F:\WinSysClean 2008\UDManager\UDManager.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: SecretCity 3DChat - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - f:\SECRET~1\\SECRET~1.EXE
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - f:\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - f:\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - f:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Ad-Aware 2007\aawservice.exe
O23 - Service: Clicker ACD Service (ACDService) - Unknown owner - c:\dokumente und einstellungen\administrator\eigene dateien\my clicker scripts\unlocker\acdservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - f:\FileZilla Server\FileZilla Server.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - E:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Nero 8\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: MyUnlocker Service (MyUnlocker) - Unknown owner - C:\Dokumente und Einstellungen\Administrator\Desktop\MyUnlocker\MyUnlocker.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - F:\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ServiceSB4 - Axaware - f:\SpamBully 4 for Outlook Express\sb4service.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - f:\Virtual CD v9\System\VC9SecS.exe

--
End of file - 17310 bytes

Kaos · 19.07.2009, 00:27

Hallo Donny711

Bitte lade dir das Avira Antirootkit Tool

1. Entpacke es auf dem Desktop und starte das Tool.
2. Setze einen Haken bei
- Scan Files
- Scan Registry
- Scan Processes
- Scan All Drives
3. Starte den Scan

Es sollte nun auf dem Desktop eine Datei mit dem Name "avirarkd.log" erstellt worden sein. Poste den gesamten Inhalt hier in deinem Beitrag.

mfg, Kaos

donny711 · 19.07.2009, 09:47

hallo kaos

danke für die antwort, allerdings kann ich dies nicht tun...
sobald ich wie bei anderen scannern auf scan klicke fährt mein PC direkt neu hoch...versuche ich Avira Antirootkit Tool im abgesichertem modus zu starten, sagt es mir, das mir treiber fehlen würden...darauf habe ich avira antivir im abgesichertem modus gestartet, weil vielleicht da die treiber dabei sind, hat aber trotzdem nicht geklappt.

gibt es ein andere antirootkit tool?

lg
donny

Kaos · 19.07.2009, 15:18

Rootkitsuche mit SysProt:

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und Unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

mfg, Kaos

donny711 · 19.07.2009, 22:43

hallo kaos

habe gerade sysprot laufen lassen...ich poste ma die log...
mir is aufgefallen, das diese datei mit anfang "geye... .dll" dort aufgelistet is, allerdings als *.tmp und als hidden...kommen ja immer näher

jetzt bräuchten wir nur noch etwas, um diesen käse löschen zu können...
hier mal die log:

Code:

ATTFilter

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: spbk.sys
Service Name: ---
Module Base: F750E000
Module End: F760E000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\ayvth43q.SYS
Service Name: ---
Module Base: F6993000
Module End: F69CA000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: F4235000
Module End: F424D000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: F7BC1000
Module End: F7BC3000
Hidden: Yes

Module Name: \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys
Service Name: ---
Module Base: F7CE2000
Module End: F7CE3000
Hidden: Yes

******************************************************************************************
******************************************************************************************
Kernel Hooks:
Hooked Function: ZwSaveKeyEx
At Address: 8064C287
Jump To: 86CF8362
Module Name: _unknown_

Hooked Function: ZwSaveKey
At Address: 8064C1EF
Jump To: 86F35EC2
Module Name: _unknown_

Hooked Function: ZwFlushInstructionCache
At Address: 80576A6A
Jump To: 86CF83F4
Module Name: _unknown_

Hooked Function: ZwEnumerateKey
At Address: 8056EF30
Jump To: 86CF83AC
Module Name: _unknown_

Hooked Function: IofCompleteRequest
At Address: 804E3BF6
Jump To: 86CF8013
Module Name: _unknown_

Hooked Function: IofCallDriver
At Address: 804E37C5
Jump To: 86E6B013
Module Name: _unknown_

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: I:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: I:\System Volume Information\tracking.log
Status: Access denied

Object: I:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: H:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: H:\System Volume Information\tracking.log
Status: Access denied

Object: H:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: H:\***\***\Pokemon Games\Roms\Green\??? - ????af? ?e?µ????.txt
Status: Hidden

Object: G:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: G:\System Volume Information\tracking.log
Status: Access denied

Object: G:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: F:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: F:\System Volume Information\tracking.log
Status: Access denied

Object: F:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: E:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: E:\System Volume Information\tracking.log
Status: Access denied

Object: E:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\???????????p????????? 
Status: Hidden

Object: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\???????????p????????? 
Status: Hidden

Object: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\geyekrjgdwvcet000
Status: Hidden

Object: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\geyekrtfjpyxep.dll.q_Quarantine_1BB50_q.ini
Status: Hidden

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{AF191FFB-7B71-4C43-892C-9226361BDB4B}
Status: Access denied

Object: C:\WINDOWS\system32\drivers\geyekrgivouogl.sys
Status: Hidden

Object: C:\WINDOWS\system32\drivers\geyekruxsxejiv.sys
Status: Hidden

Object: C:\WINDOWS\system32\geyekrltakjtqu.dat
Status: Hidden

Object: C:\WINDOWS\system32\geyekrmvnbjolx.dat
Status: Hidden

Object: C:\WINDOWS\system32\geyekrpgwsfthl.dll
Status: Hidden

Object: C:\WINDOWS\system32\geyekrtfjpyxep.dll
Status: Hidden

Object: C:\WINDOWS\system32\geyekrvymylvmy.dat
Status: Hidden

Object: C:\WINDOWS\system32\geyekrwykjmrxr.dll
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrbetxtgxrip.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrcimituicxr.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrdfvwuyqrch.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrdnnkbwuxte.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrfdtinlqbut.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrrqsiswuijt.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrujpnqcoiee.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekruxthqoivnn.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrvorpmiqrcr.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrwuheorptim.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrxmutbvrnsn.tmp
Status: Hidden

Object: C:\WINDOWS\Temp\geyekrxyobqouftp.tmp
Status: Hidden

Kaos · 20.07.2009, 10:43

Leider fehlt das der Diensteintrag und genau den Namen brauch ich. Versuch es nocheinmal, aber diesmal nur die Kernelmodule

Rootkitsuche mit SysProt:

Starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
Diesmal keinen Haken bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

Hast du eine original Windows-CD da?

mfg, Kaos

donny711 · 20.07.2009, 13:25

hallo kaos

ja, ich besitze eine original windows xp cd...
hier die neue log mit den von dir beschriebenen angaben

Code:

ATTFilter

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \??\C:\Dokumente und Einstellungen\Administrator\Desktop\SysProtDrv.sys
Service Name: SysProtDrv.sys
Module Base: BAEA8000
Module End: BAEB3000
Hidden: No

Module Name: \WINDOWS\system32\ntoskrnl.exe
Service Name: ---
Module Base: 804D7000
Module End: 806EBE80
Hidden: No

Module Name: \WINDOWS\system32\hal.dll
Service Name: ---
Module Base: 806EC000
Module End: 8070C380
Hidden: No

Module Name: \WINDOWS\system32\KDCOM.DLL
Service Name: ---
Module Base: F7B2F000
Module End: F7B31000
Hidden: No

Module Name: \WINDOWS\system32\BOOTVID.dll
Service Name: ---
Module Base: F7A3F000
Module End: F7A42000
Hidden: No

Module Name: spzx.sys
Service Name: ---
Module Base: F750E000
Module End: F760E000
Hidden: Yes

Module Name: \WINDOWS\System32\Drivers\WMILIB.SYS
Service Name: ---
Module Base: F7B31000
Module End: F7B33000
Hidden: No

Module Name: \WINDOWS\System32\Drivers\SCSIPORT.SYS
Service Name: ScsiPort
Module Base: F74F6000
Module End: F750E000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ACPI.sys
Service Name: ACPI
Module Base: F74C7000
Module End: F74F6000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\pci.sys
Service Name: PCI
Module Base: F74B6000
Module End: F74C7000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\isapnp.sys
Service Name: isapnp
Module Base: F762F000
Module End: F7638000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\viaide.sys
Service Name: ViaIde
Module Base: F7B33000
Module End: F7B35000
Hidden: No

Module Name: \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
Service Name: ---
Module Base: F78AF000
Module End: F78B6000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\MountMgr.sys
Service Name: MountMgr
Module Base: F763F000
Module End: F764A000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ftdisk.sys
Service Name: Disk
Module Base: F7497000
Module End: F74B6000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\dmload.sys
Service Name: dmload
Module Base: F7B35000
Module End: F7B37000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\dmio.sys
Service Name: dmio
Module Base: F7471000
Module End: F7497000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\PartMgr.sys
Service Name: PartMgr
Module Base: F78B7000
Module End: F78BC000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\VolSnap.sys
Service Name: VolSnap
Module Base: F764F000
Module End: F765D000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\atapi.sys
Service Name: atapi
Module Base: F7459000
Module End: F7471000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\disk.sys
Service Name: ---
Module Base: F765F000
Module End: F7668000
Hidden: No

Module Name: \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
Service Name: ---
Module Base: F766F000
Module End: F767C000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\fltmgr.sys
Service Name: FltMgr
Module Base: F7439000
Module End: F7459000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sr.sys
Service Name: sr
Module Base: F7427000
Module End: F7439000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\PxHelp20.sys
Service Name: PxHelp20
Module Base: F767F000
Module End: F7688000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\TPkd.sys
Service Name: TPkd
Module Base: F740E000
Module End: F7427000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\KSecDD.sys
Service Name: KSecDD
Module Base: F73F7000
Module End: F740E000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\WudfPf.sys
Service Name: WudfPf
Module Base: F73E4000
Module End: F73F7000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\penclass.sys
Service Name: PenClass
Module Base: F7B37000
Module End: F7B39000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Ntfs.sys
Service Name: Ntfs
Module Base: F7357000
Module End: F73E4000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\NDIS.sys
Service Name: NDIS
Module Base: F732A000
Module End: F7357000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\uagp35.sys
Service Name: uagp35
Module Base: F768F000
Module End: F769A000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sfhlp02.sys
Service Name: sfhlp02
Module Base: F78BF000
Module End: F78C7000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sfdrv01a.sys
Service Name: sfdrv01a
Module Base: F7316000
Module End: F732A000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Mup.sys
Service Name: Mup
Module Base: F72FB000
Module End: F7316000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\amdk7.sys
Service Name: AmdK7
Module Base: F77CF000
Module End: F77DA000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
Service Name: nv
Module Base: F6C18000
Module End: F72A2000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Service Name: ---
Module Base: F6C04000
Module End: F6C18000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\P17.sys
Service Name: P17
Module Base: F6AB0000
Module End: F6C04000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\portcls.sys
Service Name: ---
Module Base: F6A8C000
Module End: F6AB0000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\drmk.sys
Service Name: ---
Module Base: F77EF000
Module End: F77FE000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ks.sys
Service Name: ---
Module Base: F6A69000
Module End: F6A8C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ctoss2k.sys
Service Name: ossrv
Module Base: F6A39000
Module End: F6A69000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ctsfm2k.sys
Service Name: ctsfm2k
Module Base: F6A13000
Module End: F6A39000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\imapi.sys
Service Name: Imapi
Module Base: F77FF000
Module End: F780A000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\pfc.sys
Service Name: pfc
Module Base: F7AE7000
Module End: F7AEA000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\cdrom.sys
Service Name: Cdrom
Module Base: F780F000
Module End: F781C000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\redbook.sys
Service Name: redbook
Module Base: F781F000
Module End: F782E000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys
Service Name: GEARAspiWDM
Module Base: F795F000
Module End: F7966000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\InCDPass.sys
Service Name: InCDPass
Module Base: F782F000
Module End: F7838000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\InCDRm.sys
Service Name: incdrm
Module Base: F783F000
Module End: F7848000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\usbuhci.sys
Service Name: usbuhci
Module Base: F7967000
Module End: F796C000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\USBPORT.SYS
Service Name: ---
Module Base: F69F0000
Module End: F6A13000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\usbehci.sys
Service Name: usbehci
Module Base: F796F000
Module End: F7976000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\i8042prt.sys
Service Name: i8042prt
Module Base: F784F000
Module End: F785C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\L8042mou.Sys
Service Name: L8042mou
Module Base: F785F000
Module End: F786D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\LMouKE.Sys
Service Name: LMouKE
Module Base: F69DE000
Module End: F69F0000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\mouclass.sys
Service Name: Mouclass
Module Base: F7977000
Module End: F797D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
Service Name: L8042Kbd
Module Base: F7AF3000
Module End: F7AF7000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\kbdclass.sys
Service Name: Kbdclass
Module Base: F7987000
Module End: F798E000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\avidXPserial.sys
Service Name: Serial
Module Base: F786F000
Module End: F787D000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\serenum.sys
Service Name: serenum
Module Base: F7AF7000
Module End: F7AFB000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\parport.sys
Service Name: Parport
Module Base: F69CA000
Module End: F69DE000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
Service Name: FET5X86V
Module Base: F787F000
Module End: F788B000
Hidden: No

Module Name: \SystemRoot\System32\Drivers\ag1d0lge.SYS
Service Name: ---
Module Base: F6993000
Module End: F69CA000
Hidden: Yes

Module Name: C:\WINDOWS\system32\DRIVERS\btkrnl.sys
Service Name: BTKRNL
Module Base: F68C4000
Module End: F6993000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\wacomvhid.sys
Service Name: wacomvhid
Module Base: F7B53000
Module End: F7B55000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Service Name: ---
Module Base: F788F000
Module End: F7898000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Service Name: ---
Module Base: F79F7000
Module End: F79FE000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys
Service Name: WacomVKHid
Module Base: F7B55000
Module End: F7B57000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\vacs2xkd.sys
Service Name: EuMusDesignVirtualAudioCableWdm_s2x
Module Base: F789F000
Module End: F78AA000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\audstub.sys
Service Name: audstub
Module Base: F7CDF000
Module End: F7CE0000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\rasl2tp.sys
Service Name: Rasl2tp
Module Base: F76BF000
Module End: F76CC000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\ndistapi.sys
Service Name: NdisTapi
Module Base: F7B13000
Module End: F7B16000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\ndiswan.sys
Service Name: NdisWan
Module Base: F680D000
Module End: F6824000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\raspppoe.sys
Service Name: RasPppoe
Module Base: F76CF000
Module End: F76DA000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\raspptp.sys
Service Name: PptpMiniport
Module Base: F76DF000
Module End: F76EB000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\TDI.SYS
Service Name: ---
Module Base: F79FF000
Module End: F7A04000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\psched.sys
Service Name: PSched
Module Base: F67D4000
Module End: F67E5000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\msgpc.sys
Service Name: Gpc
Module Base: F76EF000
Module End: F76F8000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\ptilink.sys
Service Name: Ptilink
Module Base: F7A07000
Module End: F7A0C000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\raspti.sys
Service Name: Raspti
Module Base: F7A0F000
Module End: F7A14000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\hamachi.sys
Service Name: hamachi
Module Base: F7A17000
Module End: F7A1C000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\rdpdr.sys
Service Name: rdpdr
Module Base: F67A3000
Module End: F67D4000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\termdd.sys
Service Name: TermDD
Module Base: F76FF000
Module End: F7709000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\vdrv9000.sys
Service Name: vdrv9000
Module Base: F6785000
Module End: F67A3000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\swenum.sys
Service Name: swenum
Module Base: F7B57000
Module End: F7B59000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\update.sys
Service Name: Update
Module Base: F6751000
Module End: F6785000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\mssmbios.sys
Service Name: mssmbios
Module Base: F7B2B000
Module End: F7B2F000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\zebrceb.sys
Service Name: zebrceb
Module Base: F770F000
Module End: F771D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\zebrwh.sys
Service Name: ---
Module Base: F7B5B000
Module End: F7B5D000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\WmBEnum.sys
Service Name: WmBEnum
Module Base: F72CB000
Module End: F72CF000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\WmXlCore.sys
Service Name: WmXlCore
Module Base: F771F000
Module End: F772A000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\cledx.sys
Service Name: CLEDX
Module Base: F772F000
Module End: F773D000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\btaudio.sys
Service Name: btaudio
Module Base: F6702000
Module End: F6751000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\mouhid.sys
Service Name: mouhid
Module Base: F72C7000
Module End: F72CA000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys
Service Name: wacommousefilter
Module Base: F7A1F000
Module End: F7A27000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\kbdhid.sys
Service Name: kbdhid
Module Base: F72BF000
Module End: F72C3000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Service Name: NDProxy
Module Base: F773F000
Module End: F7749000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\usbhub.sys
Service Name: usbhub
Module Base: F774F000
Module End: F775E000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\USBD.SYS
Service Name: ---
Module Base: F7B61000
Module End: F7B63000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\libusb0.sys
Service Name: libusb0
Module Base: F775F000
Module End: F776D000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\ACEDRV05.sys
Service Name: ACEDRV05
Module Base: F44B3000
Module End: F4512000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\SSHDRV85.sys
Service Name: SSHDRV85
Module Base: F4468000
Module End: F44B3000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Service Name: Fs_Rec
Module Base: F7B8B000
Module End: F7B8D000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Null.SYS
Service Name: Null
Module Base: F7D45000
Module End: F7D46000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Beep.SYS
Service Name: Beep
Module Base: F7B8D000
Module End: F7B8F000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\vga.sys
Service Name: VgaSave
Module Base: F78D7000
Module End: F78DD000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Service Name: mnmdd
Module Base: F7B8F000
Module End: F7B91000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Service Name: RDPCDD
Module Base: F7B91000
Module End: F7B93000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\InCDrec.SYS
Service Name: InCDrec
Module Base: F67F1000
Module End: F67F4000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\InCDFs.sys
Service Name: InCDfs
Module Base: F4401000
Module End: F441F000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Msfs.SYS
Service Name: Msfs
Module Base: F78EF000
Module End: F78F4000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Npfs.SYS
Service Name: Npfs
Module Base: F78F7000
Module End: F78FF000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\rasacd.sys
Service Name: RasAcd
Module Base: F67ED000
Module End: F67F0000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\ipsec.sys
Service Name: IPSec
Module Base: F43EE000
Module End: F4401000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\tcpip.sys
Service Name: Tcpip
Module Base: F4396000
Module End: F43EE000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\netbt.sys
Service Name: NetBT
Module Base: F436E000
Module End: F4396000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\afd.sys
Service Name: AFD
Module Base: F434C000
Module End: F436E000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\netbios.sys
Service Name: NetBIOS
Module Base: F778F000
Module End: F7798000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\rdbss.sys
Service Name: Rdbss
Module Base: F4321000
Module End: F434C000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\mrxsmb.sys
Service Name: MRxSmb
Module Base: F428A000
Module End: F42F9000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fips.SYS
Service Name: Fips
Module Base: F779F000
Module End: F77A8000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\ipnat.sys
Service Name: IpNat
Module Base: F4269000
Module End: F428A000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\wanarp.sys
Service Name: Wanarp
Module Base: F77AF000
Module End: F77B8000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\avipbb.sys
Service Name: avipbb
Module Base: F424D000
Module End: F4269000
Hidden: No

Module Name: \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
Service Name: avgio
Module Base: F7BB7000
Module End: F7BB9000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Aspi32.SYS
Service Name: ASPI
Module Base: F7917000
Module End: F791C000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Service Name: Cdfs
Module Base: F77DF000
Module End: F77EF000
Hidden: No

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: F4235000
Module End: F424D000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: F7BC1000
Module End: F7BC3000
Hidden: Yes

Module Name: C:\WINDOWS\System32\drivers\Dxapi.sys
Service Name: ---
Module Base: F452A000
Module End: F452D000
Hidden: No

Module Name: C:\WINDOWS\System32\watchdog.sys
Service Name: ---
Module Base: F7927000
Module End: F792C000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\dxgthk.sys
Service Name: ---
Module Base: F7D5C000
Module End: F7D5D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\avgntflt.sys
Service Name: avgntflt
Module Base: BAE14000
Module End: BAE28000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
Service Name: ACEDRV07
Module Base: BADB2000
Module End: BAE14000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys
Service Name: NwlnkIpx
Module Base: BAC34000
Module End: BAC4A000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\nwlnknb.sys
Service Name: NwlnkNb
Module Base: BAE78000
Module End: BAE88000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\wdmaud.sys
Service Name: wdmaud
Module Base: BAAB7000
Module End: BAACC000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sysaudio.sys
Service Name: sysaudio
Module Base: BAB64000
Module End: BAB73000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\mrxdav.sys
Service Name: MRxDAV
Module Base: BA99D000
Module End: BA9C9000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys
Service Name: NwlnkSpx
Module Base: F777F000
Module End: F778D000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\Haspnt.sys
Service Name: Haspnt
Module Base: BAE38000
Module End: BAE44000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Nsynas32.SYS
Service Name: Nsynas32
Module Base: BAAD0000
Module End: BAAD3000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Service Name: ParVdm
Module Base: F7B77000
Module End: F7B79000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\SENTINEL.SYS
Service Name: Sentinel
Module Base: BA938000
Module End: BA94D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\atksgt.sys
Service Name: atksgt
Module Base: BA8CD000
Module End: BA910000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
Service Name: CdaC15BA
Module Base: BA930000
Module End: BA933000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\enodpl.sys
Service Name: enodpl
Module Base: F7B89000
Module End: F7B8B000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\hardlock.sys
Service Name: Hardlock
Module Base: BA643000
Module End: BA6ED000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fastfat.SYS
Service Name: Fastfat
Module Base: BA620000
Module End: BA643000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\HTTP.sys
Service Name: HTTP
Module Base: BA5DF000
Module End: BA620000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ithsgt.sys
Service Name: ithsgt
Module Base: BA53F000
Module End: BA567000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\srv.sys
Service Name: Srv
Module Base: BA4ED000
Module End: BA53F000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\lilsgt.sys
Service Name: lilsgt
Module Base: BA5CB000
Module End: BA5CE000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\lirsgt.sys
Service Name: lirsgt
Module Base: F794F000
Module End: F7954000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\secdrv.sys
Service Name: Secdrv
Module Base: BA89D000
Module End: BA8A7000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys
Service Name: ---
Module Base: F7C08000
Module End: F7C09000
Hidden: Yes

Module Name: C:\WINDOWS\System32\drivers\tandpl.sys
Service Name: tandpl
Module Base: F7BA1000
Module End: F7BA3000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\TDTCP.SYS
Service Name: TDTCP
Module Base: F79BF000
Module End: F79C5000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\RDPWD.SYS
Service Name: RDPWD
Module Base: B9DC2000
Module End: B9DE5000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\FsUsbExDisk.SYS
Service Name: FsUsbExDisk
Module Base: BA145000
Module End: BA14E000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\fdc.sys
Service Name: Fdc
Module Base: F798F000
Module End: F7996000
Hidden: No

Kaos · 20.07.2009, 14:06

Aus irgendeinem Grund wird der Dienst nicht angezeigt.
Poste bitte mal das Logfile von Combofix und Malwarebytes.

Danach bitte einen neuen Scan mit Malwarebytes und das Ergebnis hier posten.

mfg, Kaos

donny711 · 20.07.2009, 14:29

muss die log leider trennen, weil es zu viele zeichen sind...

teil1

Zitat:

ComboFix 09-07-14.07 - Administrator 16.07.2009 15:51:03.1.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.726 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00D2-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E58E8-FFA4-00D2-0D24-347CA8A3377C}
.

Überschreibung abgebrochen ... Bitte führe Combofix erneut aus
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft\Network\Downloader\qmgr0.dat
C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.#
C:\RECYCLER\S-1-5-21-1275210071-1343024091-725345543-500
C:\WINDOWS\010112010146118114.dat
C:\WINDOWS\Installer\166fb.msi
C:\WINDOWS\Installer\29a95f.msi
C:\WINDOWS\Installer\4046409.msi
C:\WINDOWS\Installer\7aad6.msi
C:\WINDOWS\system32\BReWErS.dll
C:\WINDOWS\system32\Data
C:\WINDOWS\system32\inform.dat
C:\WINDOWS\system32\msupdte.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://binuser.fileave.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games

((((((((((((((((((((((( Dateien erstellt von 2009-06-16 bis 2009-07-16 ))))))))))))))))))))))))))))))
.

2009-07-15 14:15:52 . 2009-07-15 14:15:52 1 ----a-w- C:\WINDOWS\system32\q1.dat
2009-07-15 14:15:52 . 2009-07-15 14:15:52 1 ----a-w- C:\WINDOWS\system32\idm.dat
2009-07-15 14:15:52 . 2009-07-15 14:15:52 1 ----a-w- C:\WINDOWS\system32\ck.dat
2009-07-15 14:15:52 . 2009-07-15 14:15:52 1 ----a-w- C:\WINDOWS\system32\c2d.dat
2009-07-15 14:15:33 . 2009-07-15 14:15:33 42496 ----a-w- C:\WINDOWS\system32\locsock32.dll
2009-07-15 14:02:56 . 2009-03-30 08:33:03 96104 ----a-w- C:\WINDOWS\system32\drivers\avipbb.sys
2009-07-15 14:02:56 . 2009-03-24 14:08:18 55640 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
2009-07-15 14:02:56 . 2009-02-13 10:29:07 22360 ----a-w- C:\WINDOWS\system32\drivers\avgntmgr.sys
2009-07-15 14:02:56 . 2009-02-13 10:17:49 45416 ----a-w- C:\WINDOWS\system32\drivers\avgntdd.sys
2009-07-15 14:02:27 . 2009-07-15 14:02:27 0 d-----w- C:\Programme\Avira
2009-07-15 14:02:27 . 2009-07-15 14:02:27 0 d-----w- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
2009-07-15 09:14:29 . 2009-07-16 14:07:12 0 d-----w- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2009-07-15 09:14:14 . 2009-07-15 09:42:03 0 d-----w- C:\Programme\Security Task Manager
2009-07-15 08:40:48 . 2009-07-15 08:40:58 96844 ----a-w- C:\WINDOWS\system32\drivers\53ad3b7c.sys
2009-07-15 08:40:36 . 2009-07-15 08:40:36 25600 ----a-w- C:\klkr.exe
2009-07-14 19:42:15 . 2008-10-14 15:51:38 12800 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\ComProxyBroker.exe
2009-07-14 19:42:15 . 2008-10-14 15:51:34 651264 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\VirtRegInject.dll
2009-07-14 19:42:15 . 2008-10-14 15:51:26 507904 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\RunVEDll.dll
2009-07-14 19:42:15 . 2008-09-22 09:14:50 466944 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\mWinAmpforU3Agent.exe
2009-07-14 19:42:15 . 2008-09-11 16:31:06 28672 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\executor.exe
2009-07-14 19:42:15 . 2008-08-07 11:12:06 73728 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\DisplaySettingSaver.exe
2009-07-14 19:42:15 . 2008-08-07 11:10:16 221184 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\StringReplacer.exe
2009-07-14 19:42:15 . 2008-08-07 11:07:04 4096 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\detoured.dll
2009-07-14 19:42:15 . 2008-08-07 11:06:48 499712 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\msvcp71.dll
2009-07-14 19:42:15 . 2008-08-07 11:06:48 348160 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\msvcr71.dll
2009-07-14 19:42:15 . 2008-08-07 11:06:48 118784 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\BugFinder.dll
2009-07-14 19:42:15 . 2008-02-17 08:15:54 327680 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\452772079E92C0BD\b4a0be64-438c-423f-8b79-3507b93aa737\Exec\AppMorpher.exe
2009-07-13 22:13:41 . 2009-07-13 22:13:41 0 d-----w- C:\Programme\thriXXX
2009-07-11 21:39:19 . 2009-07-11 21:39:19 0 d-----w- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MythPeople
2009-07-09 15:01:42 . 2009-07-09 15:01:42 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\assembly
2009-07-09 15:00:59 . 2009-07-09 15:00:59 146 ----a-w- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-07-09 15:00:56 . 2009-07-09 15:01:33 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2009-07-09 15:00:49 . 2009-07-09 15:00:49 7406 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{AC97DBB6-D1F9-4EDD-A4CD-4F4A7B3127E9}\_4ae13d6c.exe
2009-07-09 12:51:52 . 2009-07-11 11:27:10 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\VirtuaTennis2009
2009-07-09 12:43:33 . 2009-03-09 13:27:22 453456 ----a-w- C:\WINDOWS\system32\d3dx10_41.dll
2009-07-09 12:43:33 . 2009-03-09 13:27:22 1846632 ----a-w- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-07-09 12:43:32 . 2009-03-09 13:27:22 4178264 ----a-w- C:\WINDOWS\system32\D3DX9_41.dll
2009-07-09 12:43:31 . 2009-03-16 12:18:32 69448 ----a-w- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-07-09 12:43:31 . 2009-03-16 12:18:32 517448 ----a-w- C:\WINDOWS\system32\XAudio2_4.dll
2009-07-09 12:43:30 . 2009-03-16 12:18:32 235352 ----a-w- C:\WINDOWS\system32\xactengine3_4.dll
2009-07-09 12:43:30 . 2009-03-16 12:18:32 22360 ----a-w- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-07-09 12:40:47 . 2009-07-09 12:40:47 2272 ----a-w- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-02 21:39:19 . 2009-06-30 17:19:30 106496 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll
2009-07-02 21:39:08 . 2009-06-30 17:19:30 937984 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-07-02 21:39:08 . 2009-06-30 17:19:30 344064 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-07-02 21:39:08 . 2009-06-30 17:19:30 106496 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\libs\npcoolirisplugin.dll
2009-07-02 21:39:08 . 2009-06-30 17:19:30 103424 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-07-02 21:39:08 . 2009-06-30 17:19:28 65536 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-07-02 21:39:08 . 2009-06-30 17:19:28 4734976 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-07-02 19:50:44 . 2009-07-11 12:20:22 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hamachi
2009-07-02 19:45:23 . 2009-07-02 19:46:06 0 d-----w- C:\Programme\Hamachi
2009-07-02 19:38:58 . 2009-07-02 19:39:03 0 d-----w- C:\ERDNT
2009-06-17 15:07:35 . 2009-06-17 15:07:35 288256 ----a-w- C:\WINDOWS\system32\fmodex.dll
2009-06-16 14:53:48 . 2009-06-16 14:53:48 119808 -c----w- C:\WINDOWS\system32\dllcache\t2embed.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-16 14:13:53 . 2008-07-26 18:48:55 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WTablet
2009-07-16 09:20:23 . 2008-07-28 18:30:23 0 d-----w- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\WTablet
2009-07-15 09:37:45 . 2007-11-06 19:30:09 0 d-----w- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-07-15 08:46:40 . 2009-07-15 08:46:46 25600 ----a-w- C:\WINDOWS\system32\OLD8.tmp
2009-07-15 08:40:50 . 2009-07-15 08:40:55 25600 ----a-w- C:\WINDOWS\system32\OLD349.tmp
2009-07-15 08:18:32 . 2007-01-18 11:01:43 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\UseNeXT
2009-07-14 23:10:46 . 2008-11-01 23:52:31 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitTorrent
2009-07-14 22:49:47 . 2007-01-16 16:22:43 0 d--h--w- C:\Programme\InstallShield Installation Information
2009-07-13 20:49:02 . 2007-02-19 16:21:29 8 ----a-w- C:\WINDOWS\system32\nvModes.dat
2009-07-09 15:01:26 . 2008-02-12 18:51:35 146296 ----a-w- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-06 20:46:57 . 2007-01-19 12:18:36 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2009-07-06 09:24:09 . 2007-11-24 10:28:15 20480 ----a-w- C:\WINDOWS\system32\H@tKeysH@@k.DLL
2009-07-06 08:01:11 . 2009-06-10 19:23:27 737280 ----a-w- C:\WINDOWS\iun6002.exe
2009-07-05 00:22:40 . 2008-12-03 17:16:49 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000
2009-07-02 19:49:29 . 2007-04-24 20:30:56 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HamachiBackUp
2009-07-02 19:45:23 . 2007-04-24 20:30:40 25280 ----a-w- C:\WINDOWS\system32\drivers\hamachi.sys
2009-06-29 13:50:46 . 2008-08-24 19:14:01 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Youdagames
2009-06-28 20:53:07 . 2009-06-03 14:14:19 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2009-06-16 14:53:48 . 2002-08-29 12:00:00 82432 ----a-w- C:\WINDOWS\system32\fontsub.dll
2009-06-16 14:53:48 . 2002-08-29 12:00:00 119808 ----a-w- C:\WINDOWS\system32\t2embed.dll
2009-06-15 13:56:24 . 2002-08-29 12:00:00 97794 ----a-w- C:\WINDOWS\system32\perfc007.dat
2009-06-15 13:56:24 . 2002-08-29 12:00:00 506610 ----a-w- C:\WINDOWS\system32\perfh007.dat
2009-06-15 12:27:20 . 2009-06-15 12:28:13 69632 ----a-w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung\New PC Studio\DriverChecker.exe
2009-06-15 12:25:53 . 2009-06-15 12:25:53 0 d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung
2009-06-15 12:25:22 . 2009-06-15 12:25:22 0 d-----w- C:\Programme\MarkAny
2009-06-03 19:26:29 . 2002-08-29 12:00:00 1296384 ----a-w- C:\WINDOWS\system32\quartz.dll
2009-06-03 14:38:13 . 2009-06-03 14:38:13 10134 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-03 14:38:10 . 2009-06-03 14:38:10 0 d-----w- C:\Programme\Microsoft WSE
2009-05-24 19:15:10 . 2009-05-24 19:15:09 0 d-----w- C:\Programme\PDF Password Remover v3.0
2009-05-19 08:12:09 . 2007-04-02 16:02:54 413696 ----a-w- C:\WINDOWS\system32\wrap_oal.dll
2009-05-19 08:12:09 . 2003-03-28 02:24:48 110592 ----a-w- C:\WINDOWS\system32\OpenAL32.dll
2009-05-19 06:51:33 . 2009-05-19 06:51:33 6144 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{B6D6F393-20F7-4580-9585-49F74603C2D8}\IconB6D6F3933.exe
2009-05-19 06:51:33 . 2009-05-19 06:51:33 32256 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{B6D6F393-20F7-4580-9585-49F74603C2D8}\IconB6D6F3931.exe
2009-05-15 09:01:26 . 2009-05-19 19:42:03 104924 ----a-w- C:\WINDOWS\Fonts\Holiday_Home.ttf
2009-05-11 06:27:24 . 2009-05-19 19:42:10 99680 ----a-w- C:\WINDOWS\Fonts\Oakland Hills 1991.ttf
2009-05-10 07:30:53 . 2009-05-10 07:30:53 10134 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{3101CB58-3482-4D21-AF1A-7057FC935355}\ARPPRODUCTICON.exe
2009-05-07 15:42:35 . 2002-08-29 12:00:00 346624 ----a-w- C:\WINDOWS\system32\localspl.dll
2009-05-07 12:33:20 . 2009-05-19 19:41:41 615924 ----a-w- C:\WINDOWS\Fonts\HawaiiLover.ttf
2009-04-29 04:42:07 . 2002-08-29 12:00:00 827392 ----a-w- C:\WINDOWS\system32\wininet.dll
2009-04-29 04:41:57 . 2007-01-16 14:38:45 78336 ----a-w- C:\WINDOWS\system32\ieencode.dll
2009-04-26 12:05:36 . 2009-05-19 19:42:17 521608 ----a-w- C:\WINDOWS\Fonts\vtks Deja Vu.ttf
2009-04-23 20:49:46 . 2009-04-23 20:49:46 3262 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_701f5d03.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 3262 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_4e45323b.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_7f967ff5.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_7a5a767d.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_6e5d1ad4.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_6b8930a.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_63cb6bfc.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_45091238.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_3b251e1f.exe
2009-04-23 20:49:46 . 2009-04-23 20:49:46 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{1E869B1A-FE19-4519-B9AE-EF383A7C00E4}\_2213260d.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 3262 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_294823.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 3262 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_16496df1.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_69525f90.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_5af141bb.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_4ae13d6c.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_2cd672ae.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_26e91eb.exe
2009-04-23 20:48:31 . 2009-04-23 20:48:31 1078 ----a-r- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{ECB4D56B-E365-4922-AC0F-70CF770443A3}\_18be6784.exe
2009-04-19 20:06:39 . 2002-08-29 12:00:00 1846784 ----a-w- C:\WINDOWS\system32\win32k.sys
2008-08-24 18:43:39 . 2008-08-24 18:43:39 0 ----a-w- C:\Programme\temp01
2008-12-29 14:09:15 . 2007-05-17 13:53:16 56 --sh--r- C:\WINDOWS\system32\4F6820EDDD.sys
2006-05-03 09:06:54 . 2007-05-03 00:21:58 163328 --sh--r- C:\WINDOWS\system32\flvDX.dll
2008-12-29 14:09:15 . 2007-05-17 13:53:16 11216 -csha-w- C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 10:47:16 . 2007-05-03 00:21:58 31232 -csh--r- C:\WINDOWS\system32\msfDX.dll

donny711 · 20.07.2009, 14:30

combofix log teil 2

Zitat:

------- Sigcheck -------

[-] 2007-06-13 13:21:46 1554944 14B0B1999FCA97A232465246E5CE3F10 C:\WINDOWS\explorer.exe
[7] 2007-06-13 13:10:08 1036288 331ED93570BAF3CFE30340298762CD56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2007-06-13 13:21:45 1036288 64D320C0E301EEDC5A4ADBBDC5024F7F C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[-] 2008-04-14 02:22:45 1036800 418045A93CD87A352098AB7DABE1B53E C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[7] 2007-06-13 13:21:45 1036288 64D320C0E301EEDC5A4ADBBDC5024F7F C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{95289393-33EA-4F8D-B952-483415B9C955}"= "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll" [2009-02-10 15:56:14 119808]

[HKEY_CLASSES_ROOT\clsid\{95289393-33ea-4f8d-b952-483415b9c955}]
[HKEY_CLASSES_ROOT\qipbar.QIPBHO.1]
[HKEY_CLASSES_ROOT\TypeLib\{45FF696B-5284-4781-B2CA-ECF3A742A17B}]
[HKEY_CLASSES_ROOT\qipbar.QIPBHO]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinClicker.exe"="REM" [X]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="REM" [X]
"Sony Ericsson PC Suite"="REM" [X]
"BitTorrent DNA"="REM" [X]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57:50 15360]
"DAEMON Tools Lite"="F:\DAEMON Tools\daemon.exe" [2008-08-08 12:11:12 490952]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-09-10 21:56:24 218032]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2009-07-16 14:15:37 25600]
"AutoStartNPSAgent"="F:\Samsung New PC Studio\NPSAgent.exe" [2008-12-13 15:51:46 98304]
"SpybotSD TeaTimer"="f:\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 13:31:16 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBKeyScan"="REM" [X]
"QuickTime Task"="REM" [X]
"AVMWlanClient"="REM" [X]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2009-07-16 09:24:50 25600]
"SecurDisc"="F:\Nero 8\InCD\NBHGui.exe" [2007-09-20 09:36:26 2044712]
"InCD"="F:\Nero 8\InCD\InCD.exe" [2007-09-20 09:35:56 1077032]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07:00 8491008]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 09:38:00 88584]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 11:08:43 209153]
"nwiz"="nwiz.exe" - C:\WINDOWS\system32\nwiz.exe [2007-09-17 00:07:00 1626112]
"Logitech Utility"="Logi_MwX.Exe" - C:\WINDOWS\LOGI_MWX.EXE [2003-12-17 08:50:00 19968]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" - C:\WINDOWS\KHALMNPR.Exe [2008-12-18 21:42:58 76304]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - C:\WINDOWS\KHALMNPR.Exe [2008-12-18 21:42:58 76304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57:50 15360]
"Nokia.PCSync"="F:\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 16:35:22 1294336]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-1-20 113664]
Logitech Desktop Messenger.lnk - F:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-8-11 67128]
Logitech SetPoint.lnk - F:\Logitech\SetPoint\SetPoint.exe [2007-8-11 809488]
TabUserW.exe.lnk - C:\WINDOWS\system32\Wtablet\TabUserW.exe [2003-12-4 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-02-18 22:30:52 72208 ----a-w- c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MIDI2"=diomidi.dll
"wave2"=Digi32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^FooBar 1.0.LNK]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\FooBar 1.0.LNK
backup=C:\WINDOWS\pss\FooBar 1.0.LNKStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^jetToolBar.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\jetToolBar.lnk
backup=C:\WINDOWS\pss\jetToolBar.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\xFire\\xfire.exe"=
"F:\\Adobe\\Dreamweaver 8\\Dreamweaver.exe"=
"F:\\BearShare\\BearShare.exe"=
"F:\\Sony Ericsson\\Mobile4\\Sync Manager\\DXP SyncML.exe"=
"F:\\iTunes\\iTunes.exe"=
"F:\\QIP\\qip.exe"=
"C:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPad.exe"=
"F:\\mIRC\\mirc.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"F:\\Salling Software AB\\Salling Clicker\\WinClicker.exe"=
"F:\\Mozilla Firefox\\firefox.exe"=
"F:\\Gamers.IRC\\mirc.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"F:\\Trainer Creation Kit\\Display Server.exe"=
"F:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"F:\\QIP\\jeak\\qip.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"F:\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"F:\\Nero 8\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"F:\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"F:\\BitTorrent\\bittorrent.exe"=
"F:\\Stronghold Legends\\StrongholdLegends.exe"=
"F:\\Stronghold 2\\Stronghold2.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"G:\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"F:\\LeechGet 2007\\LeechGet.exe"=
"E:\\Mechwarrior Mercenaries\\MW4Mercs.exe"=
"E:\\Anno 1701\\Anno1701.exe"=
"F:\\Samsung New PC Studio\\npsasvr.exe"=
"F:\\Samsung New PC Studio\\npsvsvr.exe"=
"E:\\MechCommander2\\Mc2Rel.exe"=
"E:\\Command & Conquer The First Decade\\Command & Conquer(tm) Tiberian Sun(tm)\\SUN\\Game.exe"=
"E:\\Command & Conquer The First Decade\\Command & Conquer Renegade(tm)\\Renegade\\Game.exe"=
"E:\\Command & Conquer The First Decade\\Command & Conquer(tm) Generals Zero Hour\\generals.exe"=
"E:\\Command & Conquer The First Decade\\Command & Conquer(tm) Generals Zero Hour\\game.dat"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Salling Clicker mDNS
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"9474:TCP"= 9474:TCP:BitCometLite 9474 TCP
"9474:UDP"= 9474:UDP:BitCometLite 9474 UDP

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [05.07.2006 14:46:06 63352]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [01.03.2009 15:43:39 78848]
R1 vdrv9000;vdrv9000;C:\WINDOWS\system32\drivers\vdrv9000.sys [10.05.2007 21:17:57 105984]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 16:02:54 108289]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [15.06.2009 14:26:18 233472]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
R2 ServiceSB4;ServiceSB4;F:\SpamBully 4 for Outlook Express\sb4service.exe [27.07.2007 12:11:48 563608]
R2 TabletServicePen;TabletServicePen;C:\WINDOWS\system32\Pen_Tablet.exe [26.07.2008 21:16:24 3024168]
R2 VC9SecS;Virtual CD v9 Management Service;F:\Virtual CD v9\System\VC9SecS.exe [10.05.2007 21:17:12 124488]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\drivers\cledx.sys [01.06.2008 10:07:31 33792]
R3 EuMusDesignVirtualAudioCableWdm_s2x;Sound2x Audio Cable (WDM);C:\WINDOWS\system32\drivers\vacs2xkd.sys [04.09.2008 20:18:46 42880]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [15.06.2009 14:26:18 36608]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [17.04.2007 22:48:49 33792]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\system32\drivers\aspi32.sys [27.04.2007 17:26:58 16512]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [16.06.2008 17:43:47 4352]
S3 bdacap;PC-DTV Receiver;C:\WINDOWS\system32\drivers\bdacap.sys [07.06.2007 16:31:00 217728]
S3 Dmmsscrgpks;Dmmsscrgpks; [x]
S3 drhard;DRHARD;C:\WINDOWS\system32\drivers\drhard.sys [26.04.2007 15:16:47 23600]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;E:\Common\Database\bin\fbserver.exe --> E:\Common\Database\bin\fbserver.exe [?]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\drivers\fwlanusb.sys [16.06.2008 17:43:07 265088]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\drivers\ggflt.sys [18.07.2008 23:47:28 13352]
S3 GLHIDKBFILTER;GLHIDKBFILTER;C:\WINDOWS\system32\drivers\GLKbFilter.sys [07.06.2007 16:31:12 11264]
S3 HH9Help.sys;HH9Help.sys;C:\WINDOWS\system32\drivers\HH9Help.sys [10.05.2007 21:17:57 11392]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\drivers\imhidusb.sys [24.07.2007 18:46:10 30984]
S3 MyUnlocker;MyUnlocker Service;"C:\Dokumente und Einstellungen\Administrator\Desktop\MyUnlocker\MyUnlocker.exe" --> C:\Dokumente und Einstellungen\Administrator\Desktop\MyUnlocker\MyUnlocker.exe [?]
S3 SaiHFFB5;SaiHFFB5;C:\WINDOWS\system32\drivers\SaiHFFB5.sys [24.07.2007 18:46:06 176640]
S3 SaiIFFB5;Immersion's HID USB Driver (FFB5);C:\WINDOWS\system32\drivers\SaiIFFB5.sys [14.12.2005 12:10:02 16768]
S3 wacmoumonitor;Wacom Mode Helper;C:\WINDOWS\system32\drivers\wacmoumonitor.sys [26.07.2008 20:48:09 15144]
S3 XDva092;XDva092;\??\C:\WINDOWS\system32\XDva092.sys --> C:\WINDOWS\system32\XDva092.sys [?]
S3 XDva221;XDva221;\??\C:\WINDOWS\system32\XDva221.sys --> C:\WINDOWS\system32\XDva221.sys [?]
S3 zlportio;zlportio;\??\G:\UltraStar Deluxe\zlportio.sys --> G:\UltraStar Deluxe\zlportio.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK
*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{544735C9-AE13-4721-9DE7-D529BE675038}]
rundll32 locsock32.dll,laspi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKLM-Run-Microsoft WinUpdate - C:\WINDOWS\system32\msupdte.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = start.qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE:
IE: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: An vorhandenes PDF anfügen - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Download mit &Ultimate Download Manager - F:\WinSysClean 2008\UDManager\UDManager.htm
IE: In Adobe PDF konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Mit dem LeechGet Wizard laden - file://f:\LeechGet 2007\\Wizard.html
IE: Mit LeechGet herunterladen - file://f:\LeechGet 2007\\AddUrl.html
IE: Mit LeechGet parsen - file://f:\LeechGet 2007\\Parser.html
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - F:\WinSysClean 2008\UDManager\UDManager.exe
IE: {{D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - f:\SECRET~1\\SECRET~1.EXE
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\IMVU\Run IMVU.lnk
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - f:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
FF - ProfilePath - C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla\Firefox\Profiles\9a7rzx7v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1795216&SearchSource=3&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - chrome://fastdial/content/fastdial.html
FF - component: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9a7rzx7v.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: F:\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\plugins\npcoolirisplugin.dll
FF - plugin: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: C:\Programme\thriXXX\WebLaunch\Binaries\npWebLaunch.dll
FF - plugin: F:\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF - plugin: F:\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: F:\Mozilla Firefox\plugins\NPHoldemFireLauncher.dll
FF - plugin: F:\Mozilla Firefox\plugins\NPLeechGet.dll
FF - plugin: F:\Mozilla Firefox\plugins\NPMFireLauncher.dll
FF - plugin: F:\Mozilla Firefox\plugins\npstrlnk.dll
FF - plugin: F:\Mozilla Firefox\plugins\npWebLaunch.dll
FF - plugin: F:\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: f:\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: f:\Real Alternative\browser\plugins\nprpjplug.dll
FF - plugin: f:\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
F:\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
F:\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
F:\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
F:\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
F:\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
F:\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
F:\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
F:\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
F:\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
F:\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
F:\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
F:\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
F:\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
F:\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
F:\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
F:\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
F:\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
F:\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
F:\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
F:\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

donny711 · 20.07.2009, 14:31

malwarebytes log...
den neuen poste ich ich noch...muss noch den neuen scan machen

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2461
Windows 5.1.2600 Service Pack 2

18.07.2009 23:20:46
mbam-log-2009-07-18 (23-20-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 205382
Laufzeit: 58 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{61dc85a0-4a32-4c38-92cf-24652b3f416c} (Password.Stealer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61dc85a0-4a32-4c38-92cf-24652b3f416c} (Password.Stealer) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft winupdate (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D3 (Spyware.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Spyware.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\BN (Spyware.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Spyware.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D1 (Spyware.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\D2 (Spyware.Ambler) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\locsock32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msupdte.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\idm.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\q1.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ck.dat (Malware.Trace) -> Quarantined and deleted successfully.

Kaos · 20.07.2009, 14:52

Ich kann dir hier eigentlich nur noch eine Neuinstallation empfehlen.

Du hast ein Rootkit, wohl immer noch aktiv. Dann war da Backdoorprogramm und ein Keylogger.

Sichere deine Daten, aber achte darauf, das keine ausführbaren dabei sind.
Dokumente, Audio, Video und Bilddateien sind in der Regel kein Problem. Scanne sie aber, bevor du sie zurückspielst.

Ändere alle deine Passwörter von einem sauberen Rechner aus. Onlinebanking und Ebayeinkäufe oder ähnliches solltest du unbedingt vermeiden, bis der Rechner wieder sauber ist.

Am besten meldest du dich danach nochmal.

mfg, Kaos

donny711 · 20.07.2009, 15:54

hier nun der neue Malwarebytes scan:

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2466
Windows 5.1.2600 Service Pack 2

20.07.2009 16:53:40
mbam-log-2009-07-20 (16-53-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 460482
Laufzeit: 1 hour(s), 8 minute(s), 23 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 23

Infizierte Speicherprozesse:
C:\Programme\Windows Media Player\wmpnscfg.exe (Trojan.GamesThief) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wmpnscfg (Trojan.GamesThief) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe (Trojan.GamesThief) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Windows Media Player\wmpnscfg.exe (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\klkr.exe (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\coolspot ag\personal id\pid.exe (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\coolspot ag\personal id\pid.exe189 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\coolspot ag\personal id\pid.exe299 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe107 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe145 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe302 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Nero\Lib\nerocheck.exe358 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\windows media player\wmpnscfg.exe144 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\windows media player\wmpnscfg.exe146 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\windows media player\wmpnscfg.exe163 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\windows media player\wmpnscfg.exe182 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\programme\windows media player\wmpnscfg.exe99 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINDOWS\system32\msupdte.exe.vir (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\msupdte.exe101 (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\OLD349.tmp (Trojan.GamesThief) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\OLD8.tmp (Trojan.GamesThief) -> Quarantined and deleted successfully.
f:\Gamers.IRC\backup\bin\dll\dmu.dll (Trojan.Bot) -> Quarantined and deleted successfully.
f:\Gamers.IRC\backup\bin\dll\SysTray.dll (Trojan.Bot) -> Quarantined and deleted successfully.
f:\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> Quarantined and deleted successfully.
f:\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> Quarantined and deleted successfully.

Kaos · 20.07.2009, 21:33

Da wurde ja einiges nachgeladen, wie bereits gesagt, ist das beste eine Neuinstallation.
Lese dir die Anleitung zum Neuaufsetzen des Systems gut durch und halte dich daran. Melde dich bitte danach nocheinmal hier.

mfg, Kaos

virus in //?/globalroot/systemroot/

Log-Analyse und Auswertung: virus in //?/globalroot/systemroot/