Trojaner/Virus?? PC stürzt grundlos ab/ Bluescreen Meldung

Swisstreasure · 11.08.2009, 14:16

Dann mache einfach beim Rest weiter.

GRuss Swiss

crisen · 11.08.2009, 14:25

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Aug 11 15:20:37 2009

15:20:37: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\Search Settings" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

crisen · 11.08.2009, 14:28

so papierkorb mit zip datei geleert...eine frage wenn ich zb arbeitsplatz geöffnet habe versucht windows installer search settings zu installieren ich habe erstmal auf cancel gedrückt...ist das richtig?

Swisstreasure · 11.08.2009, 14:40

Ja das ist richtig.

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Code:

ATTFilter

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll

und wähle fix checked.
Starte den Rechner neu.

>>
Wende Avenger mit folgendem Script nochmals an:

Code:

ATTFilter

Files to delete:
C:\DOKUME~1\kai\LOKALE~1\Temp\aujasnkj.sys
C:\DOKUME~1\HOCHHE~1\LOKALE~1\Temp\jgameenp.sys
C:\DOKUME~1\kai\LOKALE~1\Temp\PCD65X2.sys
C:\DOKUME~1\kai\LOKALE~1\Temp\PCD65X3.sys
C:\DOKUME~1\HOCHHE~1\LOKALE~1\Temp\wks.sys

>>
Wende CCleaner an

>>
Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

Gruss Swiss

crisen · 11.08.2009, 14:54

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\DOKUME~1\kai\LOKALE~1\Temp\aujasnkj.sys" not found!
Deletion of file "C:\DOKUME~1\kai\LOKALE~1\Temp\aujasnkj.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\DOKUME~1\HOCHHE~1\LOKALE~1\Temp\jgameenp.sys" not found!
Deletion of file "C:\DOKUME~1\HOCHHE~1\LOKALE~1\Temp\jgameenp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\DOKUME~1\kai\LOKALE~1\Temp\PCD65X2.sys" not found!
Deletion of file "C:\DOKUME~1\kai\LOKALE~1\Temp\PCD65X2.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\DOKUME~1\kai\LOKALE~1\Temp\PCD65X3.sys" not found!
Deletion of file "C:\DOKUME~1\kai\LOKALE~1\Temp\PCD65X3.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\DOKUME~1\HOCHHE~1\LOKALE~1\Temp\wks.sys" not found!
Deletion of file "C:\DOKUME~1\HOCHHE~1\LOKALE~1\Temp\wks.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

komisch scheinbar hat das mit avenger nicht geklappt da die dateien nicht da sind...
ich mache mal weiter mit dem rest

crisen · 11.08.2009, 15:15

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/11 15:58
Program Version: Version 1.3.3.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xBA4FF000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A34000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB7078000 Size: 49152 File Visible: No Signed: -
Status: -

Name: SKYNETmkgetlnm.sys
Image Path: C:\WINDOWS\system32\drivers\SKYNETmkgetlnm.sys
Address: 0xBA799000 Size: 151552 File Visible: - Signed: -
Status: Hidden from the Windows API!

Name: vadhbt.sys
Image Path: C:\WINDOWS\system32\drivers\vadhbt.sys
Address: 0xF78D5000 Size: 61440 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\WINDOWS\system32\SKYNETfrmqlvtu.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\SKYNETlkmpqjdb.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\SKYNETnkreftxl.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\SKYNETvddqydoa.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\SKYNETmkgetlnm.sys
Status: Invisible to the Windows API!

Stealth Objects
-------------------
Object: Hidden Module [Name: SKYNETvddqydoa.dll]
Process: winlogon.exe (PID: 748) Address: 0x10000000 Size: 32768

Object: Hidden Module [Name: SKYNETvddqydoa.dll]
Process: services.exe (PID: 792) Address: 0x10000000 Size: 32768

so der scan report...muss jetzt erstmal weg bin heute abend wieder da....hoffe wir schaffen das zusammen

Swisstreasure · 11.08.2009, 15:56

[QUOTE=Eminemstyle;408079]Anleitung Avenger (by swandog46)

Lade dir das Tool
Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:
ATTFilter

Drivers to disable: SKYNETmkgetlnm Drivers to delete: SKYNETmkgetlnm Files to delete: C:\WINDOWS\system32\SKYNETfrmqlvtu.dat C:\WINDOWS\system32\SKYNETlkmpqjdb.dat C:\WINDOWS\system32\SKYNETnkreftxl.dll C:\WINDOWS\system32\SKYNETvddqydoa.dll C:\WINDOWS\system32\drivers\SKYNETmkgetlnm.sys

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute

Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

SKYNET

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

crisen · 11.08.2009, 21:42

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open driver "SKYNETmkgetlnm"
Disablement of driver "SKYNETmkgetlnm" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SKYNETmkgetlnm" not found!
Deletion of driver "SKYNETmkgetlnm" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\SKYNETfrmqlvtu.dat" deleted successfully.
File "C:\WINDOWS\system32\SKYNETlkmpqjdb.dat" deleted successfully.
File "C:\WINDOWS\system32\SKYNETnkreftxl.dll" deleted successfully.
File "C:\WINDOWS\system32\SKYNETvddqydoa.dll" deleted successfully.
File "C:\WINDOWS\system32\drivers\SKYNETmkgetlnm.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hm hat 2 sachen wieder nicht gefunden...komisch so mache den jetzt den scan

crisen · 11.08.2009, 21:56

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 11.08.2009 22:54:57 for strings:
; 'skynet'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

hoffe das war so richtig wusste nicht was du mit dem in edit meinst...

Swisstreasure · 11.08.2009, 23:03

>>
Installier Dir Avira 9. Dann einstellen wie hier beschrieben, updaten und scannn.
Poste das Log.

>>
Poste nun bitte ein neues GMER log und dazu ein HJT Log

Gruss Swiss

crisen · 11.08.2009, 23:04

okay ich bin dabei scan dauert wahrscheinlich ne weile aber bin noch länger on...

Swisstreasure · 11.08.2009, 23:10

Ich auch

Dann warten wir mal ab was der meint.

Gruss Swiss

crisen · 12.08.2009, 01:17

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 12. August 2009 00:24

Es wird nach 1562564 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOCHHEIM-2ZYWS2

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.4.253 1779200 Bytes 19.07.2009 21:08:01
ANTIVIR3.VDF : 7.1.5.19 139776 Bytes 23.07.2009 06:36:13
Engineversion : 8.2.0.228
AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:15
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 23.07.2009 08:59:39
AESCN.DLL : 8.1.2.4 127348 Bytes 23.07.2009 08:59:39
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:14
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 23.07.2009 08:59:39
AEHELP.DLL : 8.1.5.3 233846 Bytes 23.07.2009 08:59:39
AEGEN.DLL : 8.1.1.50 352629 Bytes 23.07.2009 08:59:39
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 23.07.2009 08:59:39
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 12. August 2009 00:24

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNEToyuhypik\main
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNEToyuhypik\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNEToyuhypik\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNEToyuhypik\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNEToyuhypik\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SKYNEToyuhypik\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '8502' Objekte überprüft, '6' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McTskshd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mcdetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ijplmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CooLSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ocontrol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcregwiz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sstray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNYHKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\****\Desktop\Guitar Pro 5.2 Full + Keygen\Keygen.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Prorat.JYP
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\****\Desktop\Guitar Pro 5.2 Full + Keygen\Keygen.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Prorat.JYP
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afb0a29.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 12. August 2009 02:16
Benötigte Zeit: 1:50:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10623 Verzeichnisse wurden überprüft
458285 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
458283 Dateien ohne Befall
3032 Archive wurden durchsucht
1 Warnungen
2 Hinweise
8502 Objekte wurden beim Rootkitscan durchsucht
6 Versteckte Objekte wurden gefunden

crisen · 12.08.2009, 01:23

GMER 1.0.15.15020 [pebsivbh.exe] - GMER - Rootkit Detector and Remover
Rootkit scan 2009-08-12 02:23:54
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

Code 82C83D58 ZwEnumerateKey
Code 82C84220 ZwFlushInstructionCache
Code 82C82676 IofCallDriver
Code 82C7C246 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 82C8267B
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 82C7C24B
PAGE ntoskrnl.exe!ZwEnumerateKey 8056EE68 5 Bytes JMP 82C83D5C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8057797A 5 Bytes JMP 82C84224
? system32\drivers\uxbmz.sys Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[272] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A0000A
.text C:\WINDOWS\CNYHKey.exe[460] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 003E000A
.text C:\WINDOWS\SOUNDMAN.EXE[468] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F5000A
.text C:\WINDOWS\system32\sstray.exe[476] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 003C000A
.text C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe[484] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0097000A
.text ...

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip MpFirewall.sys (McAfee Personal Firewall Driver/McAfee)
AttachedDevice \Driver\Tcpip \Device\Ip ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp MpFirewall.sys (McAfee Personal Firewall Driver/McAfee)
AttachedDevice \Driver\Tcpip \Device\Tcp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\00000078 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \Driver\Tcpip \Device\Udp MpFirewall.sys (McAfee Personal Firewall Driver/McAfee)
AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp MpFirewall.sys (McAfee Personal Firewall Driver/McAfee)
AttachedDevice \Driver\Tcpip \Device\RawIp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\USBSTOR \Device\0000007d sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\0000007e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\SKYNETmkgetlnm.sys (*** hidden *** ) [SYSTEM] SKYNEToyuhypik <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik@imagepath \systemroot\system32\drivers\SKYNETmkgetlnm.sys
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main@aid 10002
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main@sid 1
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main\injector@* SKYNETwsp.dll
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETmkgetlnm.sys
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\modules@SKYNETcmd.dll \systemroot\system32\SKYNETnkreftxl.dll
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\modules@SKYNETlog.dat \systemroot\system32\SKYNETlkmpqjdb.dat
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\modules@SKYNETwsp.dll \systemroot\system32\SKYNETvddqydoa.dll
Reg HKLM\SYSTEM\ControlSet001\Services\SKYNEToyuhypik\modules@SKYNET.dat \systemroot\system32\SKYNETfrmqlvtu.dat
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACfkmmqwkdbr.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACfkmmqwkdbr.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqpqlxmyebx.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACmicxtvoorx.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACjsnoeyacny.dat
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACmafyhiylpu.db
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UAChsbitvqirb.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACdoyeomtrum.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik@imagepath \systemroot\system32\drivers\SKYNETmkgetlnm.sys
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main@aid 10002
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main@sid 1
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main\injector@* SKYNETwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETmkgetlnm.sys
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\modules@SKYNETcmd.dll \systemroot\system32\SKYNETnkreftxl.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\modules@SKYNETlog.dat \systemroot\system32\SKYNETlkmpqjdb.dat
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\modules@SKYNETwsp.dll \systemroot\system32\SKYNETvddqydoa.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyuhypik\modules@SKYNET.dat \systemroot\system32\SKYNETfrmqlvtu.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik@imagepath \systemroot\system32\drivers\SKYNETmkgetlnm.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main@aid 10002
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main@sid 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main\injector@* SKYNETwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETmkgetlnm.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\modules@SKYNETcmd.dll \systemroot\system32\SKYNETnkreftxl.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\modules@SKYNETlog.dat \systemroot\system32\SKYNETlkmpqjdb.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\modules@SKYNETwsp.dll \systemroot\system32\SKYNETvddqydoa.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyuhypik\modules@SKYNET.dat \systemroot\system32\SKYNETfrmqlvtu.dat

---- EOF - GMER 1.0.15 ----

crisen · 12.08.2009, 01:25

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:25:12, on 12.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\sstray.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
c:\programme\mcafee.com\agent\mcdetect.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\Hochheimer\Desktop\HiJackThis.exe

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Sign In
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?42851db6196c4f5b82c97864c7ff848d
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?42851db6196c4f5b82c97864c7ff848d
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1139213456234
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 9927 bytes

11.08.2009, 14:16	#16
Swisstreasure /// Malwareteam	Trojaner/Virus?? PC stürzt grundlos ab/ Bluescreen Meldung Dann mache einfach beim Rest weiter. GRuss Swiss

11.08.2009, 23:03	#25
Swisstreasure /// Malwareteam	Trojaner/Virus?? PC stürzt grundlos ab/ Bluescreen Meldung >> Installier Dir Avira 9. Dann einstellen wie hier beschrieben, updaten und scannn. Poste das Log. >> Poste nun bitte ein neues GMER log und dazu ein HJT Log Gruss Swiss

11.08.2009, 23:10	#27
Swisstreasure /// Malwareteam	Trojaner/Virus?? PC stürzt grundlos ab/ Bluescreen Meldung Ich auch Dann warten wir mal ab was der meint. Gruss Swiss

Trojaner/Virus?? PC stürzt grundlos ab/ Bluescreen Meldung

Log-Analyse und Auswertung: Trojaner/Virus?? PC stürzt grundlos ab/ Bluescreen Meldung