TR/crypt.ZPACK.Gen - Hilfe

Santuro · 23.08.2009, 16:03

antivir hat nichts gefunden

is es jetz vorbei?

zur frage vorhin: wenn ich alle sicherheitstools deinstallieren soll, was soll ich dann verwenden?

hier das log zu antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 23. August 2009 15:26

Es wird nach 1651917 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ABACUS

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 18:05:09
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 14:39:46
ANTIVIR2.VDF : 7.1.5.146 3087360 Bytes 21.08.2009 10:03:27
ANTIVIR3.VDF : 7.1.5.149 9728 Bytes 21.08.2009 10:03:28
Engineversion : 8.2.1.3
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 08:38:32
AESCRIPT.DLL : 8.1.2.25 459130 Bytes 12.08.2009 16:09:07
AESCN.DLL : 8.1.2.4 127348 Bytes 24.07.2009 15:17:14
AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:54:32
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 15:04:54
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 19:02:30
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 19:05:12
AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 19:04:22
AEGEN.DLL : 8.1.1.57 356725 Bytes 18.08.2009 19:04:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 24.07.2009 15:17:08
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 18:08:23
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 17:27:10
RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 18:08:22

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, V:, W:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 23. August 2009 15:26

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '56957' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'V:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'W:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '49' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> inoweb.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'V:\' <Extern1>
Beginne mit der Suche in 'W:\' <Extern2>

Ende des Suchlaufs: Sonntag, 23. August 2009 17:02
Benötigte Zeit: 1:36:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13855 Verzeichnisse wurden überprüft
561766 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
561765 Dateien ohne Befall
9782 Archive wurden durchsucht
3 Warnungen
1 Hinweise
56957 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

john.doe · 23.08.2009, 16:37

Zitat:

is es jetz vorbei?

Nein, aber die schlimmsten Plagegeister bist du los.

Zitat:

zur frage vorhin: wenn ich alle sicherheitstools deinstallieren soll, was soll ich dann verwenden?

Haben deine ganzen Sicherheitstools die Schädlingen erkannt? Konnten sie die entfernen? Wozu hast du die eigentlich?

Klicke auf die letzten beiden Links in meiner Signatur. Lies alles aufmerksam, lerne es auswendig und vor allem befolge die Regeln. Dann kann dir nichts passieren.

Du hast gleich gegen mehrere der Regeln verstoßen. Anstatt deine Software aktuell zu halten, hast du völlig überflüssige "Sicherheitsprogramme" installiert.

Hier wird üblicherweise die Empfehlung Avira/Malwarebytes gegeben. Was allerdings zählt ist Brain.exe. Dein Verhalten bestimmt, ob du sicher im Netz unterwegs bist oder nicht. Die "Sicherheitsprogramme" können dich dabei nur unterstützen, bieten aber keinen Schutz.

Falls du die Programme schon deinstalliert hast, ist dir aufgefallen, dass dein Rechner jetzt wesentlich schneller ist?

Hast/Hattest du eine ATI S3 Grafikkarte in dem Rechner?

Weiter im Programm, entfernen wir noch die Reste des Schädlings und der ganzen unnützen Software.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
Lbd
TfFsMon
TfSysMon
Lavasoft Ad-Aware Service
ThreatFire
TfNetMon
mchInjDrv
Hetbpla
KLIF
vsdatant

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThreatFire"=-
"Ad-Watch"=-
"ZoneAlarm Client"=-
"SoundMan"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{157d1bbc-f9cc-11dc-a85b-0013d3f8fef9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{280d3fe7-6653-11de-8cdc-001a4f9e9c03}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37d351bd-4900-11dd-8b05-d92f13df002f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0b1d6fa-e922-11dc-a838-0013d3f8fef9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe8b31bc-ff91-11db-80c2-0013d3f8fef9}]

File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
 c:\windows\system32\zllictbl.dat

Folder::
C:\Config.Msi
c:\windows\system32\ZoneLabs
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\rsit
c:\windows\Internet Logs
c:\programme\ThreatFire
c:\programme\Spybot - Search & Destroy

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Santuro · 23.08.2009, 18:25

Also vielen Dank für die Beseitigung des Trojaners!!!

Trotzdem noch ein paar fragen und antworten:

wieso verwendest du "die schlimmsten Plagegeister" im Plural, ich hatte doch nur den einen im Thema benannten Trojaner!?

Meine Sicherheitstools ergänzen sich so weit ich weiß:
Mit antivir hab ich den Trojaner erkannt, sonst hätt ich das problem nicht gesehen. Threatfire arbeitet im Hintergrund gegen Malware, Spybot hat den Trojaner zwar nicht erkannt, dass heißt doch aber nicht, dass das programm generell nichts taugt?
Außerdem sind die Programme meistens ordentlich upgedated, Threatfire und Antivir machen das selbst, Ad-Aware benutz ich zurzeit nicht, da ich nichts updaten kann (funktioniert nicht).
Das wär das einzige was ich nicht update...

Des Weiteren hab ich meines Wissenstandes nach sogut wie keine infektionen seit längerer Zeit, deshalb wird vermutlich auch nichts gefunden. ( oder sagen die log -berichte da anderes?

)
Und den Trojaner hab ich auch nicht durchs Internet, sondern durch Benutzung der Festplatte an einem anderen Computer bekommen.

wenn mir diese programme nicht helfen, was erledigen dann Avira/Malwarebytes und brain.exe (was macht das programm überhaupt) so viel besser?

Die von dir genannte Grafikkarte habe/hatte ich nicht.

kann man die reste des Schädlings nicht auch ohne meine sicherheitstools entfernen?

john.doe · 23.08.2009, 18:42

Zitat:

wieso verwendest du "die schlimmsten Plagegeister" im Plural, ich hatte doch nur den einen im Thema benannten Trojaner!?

Den aber auf zwei Partitionen.

Das hier ist auch einer:

Zitat:

S4 Hetbpla;Hetbpla; [x]

Vielleicht nur ein Rest, vielleicht mehr.

Der sieht auch ausgesprochen suspekt aus:

Zitat:

S3 s3chipid;s3chipid;\??\c:\dokume~1\Galoris\LOKALE~1 \Temp\s3chipid.sys --> c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys [?]

Da du keine ATI S3 hast, ist das in jedem Fall ein Schädling. Vielleicht nur ein Rest, vielleicht mehr.

Du bist noch lange nicht sauber.

Zitat:

Threatfire arbeitet im Hintergrund gegen Malware, Spybot hat den Trojaner zwar nicht erkannt, dass heißt doch aber nicht, dass das programm generell nichts taugt?

Doch, genau das bedeutet es.

Zitat:

Ad-Aware benutz ich zurzeit nicht, da ich nichts updaten kann (funktioniert nicht).

Dann ist es völlig sinnlos.

Zitat:

wenn mir diese programme nicht helfen, was erledigen dann Avira/Malwarebytes und brain.exe (was macht das programm überhaupt) so viel besser?

Entweder du hast nicht gelesen oder du hast nicht verstanden.

Zitat:

kann man die reste des Schädlings nicht auch ohne meine sicherheitstools entfernen?

Genau das habe ich vor, dazu musst du aber das neue Log von ComboFix posten.

ciao, andreas

Santuro · 23.08.2009, 20:02

Gut, Combofix ausgeführt:

ComboFix 09-08-21.02 - Galoris 23.08.2009 20:49.4.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.1133 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cfscript.txt

FILE ::
"c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\windows\system32\drivers\fidbox.dat"
"c:\windows\system32\drivers\fidbox.idx"
"c:\windows\system32\perfc007.dat"
"c:\windows\system32\perfh007.dat"
"c:\windows\system32\zllictbl.dat"
"c:\windows\Tasks\Ad-Aware Update (Weekly).job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Config.Msi
c:\config.msi\4919c.rbf
c:\config.msi\4919d.rbf
c:\config.msi\4919e.rbf
c:\config.msi\4919f.rbf
c:\config.msi\491a0.rbf
c:\config.msi\491a1.rbf
c:\config.msi\491a2.rbf
c:\config.msi\491a3.rbf
c:\config.msi\491a4.rbf
c:\config.msi\491a5.rbf
c:\config.msi\491a6.rbf
c:\config.msi\491a7.rbf
c:\config.msi\491a8.rbf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\EverestPoker.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\EverestPoker1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\EverestPoker2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityInternetExplorer.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Overview.ini
c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\advcheck.dll
c:\programme\Spybot - Search & Destroy\Help\Deutsch.chm
c:\programme\ThreatFire
c:\programme\ThreatFire\BpDatabase\01917B80.out
c:\programme\ThreatFire\BpDatabase\0493B220.out
c:\programme\ThreatFire\BpDatabase\09310E0B.out
c:\programme\ThreatFire\BpDatabase\1EBBD48A.out
c:\programme\ThreatFire\BpDatabase\231647C3.out
c:\programme\ThreatFire\BpDatabase\3DF35F3A.out
c:\programme\ThreatFire\BpDatabase\4AF8CDC6.out
c:\programme\ThreatFire\BpDatabase\4DD46199.out
c:\programme\ThreatFire\BpDatabase\552A0FD8.out
c:\programme\ThreatFire\BpDatabase\5D5E30BB.out
c:\programme\ThreatFire\BpDatabase\64C44AFE.out
c:\programme\ThreatFire\BpDatabase\8796C1F1.out
c:\programme\ThreatFire\BpDatabase\8907D2D7.out
c:\programme\ThreatFire\BpDatabase\9E5D7233.out
c:\programme\ThreatFire\BpDatabase\AEA930F2.out
c:\programme\ThreatFire\BpDatabase\B798438E.out
c:\programme\ThreatFire\BpDatabase\BABEA9D6.out
c:\programme\ThreatFire\BpDatabase\C2E37938.out
c:\programme\ThreatFire\BpDatabase\D9B9191F.out
c:\programme\ThreatFire\BpDatabase\E877A478.out
c:\programme\ThreatFire\BpDatabase\EE7A8FAA.out
c:\programme\ThreatFire\BpDatabase\tf1000.out
c:\programme\ThreatFire\Chinese.lng
c:\programme\ThreatFire\French.lng
c:\programme\ThreatFire\German.lng
c:\programme\ThreatFire\Italian.lng
c:\programme\ThreatFire\Portuguese Brazilian.lng
c:\programme\ThreatFire\QuickStart-br.chm
c:\programme\ThreatFire\QuickStart-cn.chm
c:\programme\ThreatFire\QuickStart-de.chm
c:\programme\ThreatFire\QuickStart-es.chm
c:\programme\ThreatFire\QuickStart-fr.chm
c:\programme\ThreatFire\QuickStart-it.chm
c:\programme\ThreatFire\QuickStart-pl.chm
c:\programme\ThreatFire\QuickStart.chm
c:\programme\ThreatFire\RecentHits2.dat
c:\programme\ThreatFire\Spanish.lng
c:\programme\ThreatFire\Statistics.xml
c:\programme\ThreatFire\Update\Chinese.lng
c:\programme\ThreatFire\Update\French.lng
c:\programme\ThreatFire\Update\German.lng
c:\programme\ThreatFire\Update\Italian.lng
c:\programme\ThreatFire\Update\Polish.lng
c:\programme\ThreatFire\Update\Portuguese Brazilian.lng
c:\programme\ThreatFire\Update\QuickStart-br.chm
c:\programme\ThreatFire\Update\QuickStart-cn.chm
c:\programme\ThreatFire\Update\QuickStart-de.chm
c:\programme\ThreatFire\Update\QuickStart-es.chm
c:\programme\ThreatFire\Update\QuickStart-fr.chm
c:\programme\ThreatFire\Update\QuickStart-it.chm
c:\programme\ThreatFire\Update\QuickStart-pl.chm
c:\programme\ThreatFire\Update\QuickStart.chm
c:\programme\ThreatFire\Update\Spanish.lng
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\Internet Logs
c:\windows\Internet Logs\fwdbglog.txt
c:\windows\Internet Logs\installer_041208215218.log
c:\windows\Internet Logs\installer_041308100845.log
c:\windows\Internet Logs\installer_062509170131.log
c:\windows\Internet Logs\installer_071208200112.log
c:\windows\Internet Logs\installer_092008143207.log
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\zllictbl.dat
c:\windows\Tasks\Ad-Aware Update (Weekly).job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KLIF
-------\Legacy_LBD
-------\Legacy_MCHINJDRV
-------\Legacy_TFFSMON
-------\Legacy_TFNETMON
-------\Legacy_TFSYSMON
-------\Legacy_VSDATANT
-------\Service_Hetbpla
-------\Service_Lbd

((((((((((((((((((((((( Dateien erstellt von 2009-07-23 bis 2009-08-23 ))))))))))))))))))))))))))))))
.

2009-08-22 15:12 . 2009-08-22 15:16 -------- d-----w- c:\programme\trend micro
2009-08-22 10:45 . 2009-08-22 10:45 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Malwarebytes
2009-08-22 10:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-22 10:44 . 2009-08-22 10:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-22 10:44 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-22 10:44 . 2009-08-22 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-21 06:43 . 2009-08-21 06:43 -------- d-----w- c:\programme\CCleaner
2009-08-13 16:02 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-28 14:52 . 2009-07-28 14:52 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-23 18:41 . 2007-11-30 13:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-23 18:41 . 2006-02-11 14:00 -------- d-----w- c:\programme\TuneXP
2009-08-23 18:16 . 2008-04-12 18:29 -------- d-----w- c:\programme\Lavasoft
2009-08-23 18:16 . 2008-04-12 18:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-08-19 08:51 . 2006-12-23 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-05 18:05 . 2009-03-21 14:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2005-12-18 01:29 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 16:05 . 2007-07-07 12:12 -------- d-----w- c:\programme\Bengal
2009-07-26 20:17 . 2007-08-07 16:39 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\ChessBase
2009-07-21 15:04 . 2009-07-21 15:04 10134 ----a-r- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-07-21 15:04 . 2009-07-21 15:04 -------- d-----w- c:\programme\Microsoft WSE
2009-07-21 14:15 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Miranda Fusion
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\programme\MirandaFusion
2009-07-18 20:11 . 2008-08-15 12:35 -------- d-----w- c:\programme\ICQ6
2009-07-17 19:01 . 2005-12-18 01:29 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-12-18 01:29 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:22 . 2009-03-06 05:59 -------- d-----w- c:\programme\AutoGK
2009-07-11 12:22 . 2007-10-12 15:52 -------- d-----w- c:\programme\Xvid
2009-07-11 12:22 . 2008-03-18 20:43 -------- d-----w- c:\programme\AviSynth 2.5
2009-07-11 09:47 . 2009-07-11 09:47 -------- d-----w- c:\programme\Lavalys
2009-07-06 20:44 . 2009-07-08 15:11 103424 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-07-06 20:44 . 2009-07-08 15:11 937984 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-07-06 20:44 . 2009-07-08 15:11 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-07-06 20:44 . 2009-07-08 15:11 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-07-06 20:44 . 2009-07-08 15:11 4722688 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-07-06 20:44 . 2009-07-08 15:11 344064 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-07-01 20:13 . 2008-04-14 14:34 -------- d-----w- c:\programme\Google
2009-07-01 19:54 . 2008-08-15 13:13 -------- d-----w- c:\programme\Miranda IM
2009-06-30 17:19 . 2009-07-03 16:03 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll
2009-06-30 17:19 . 2009-07-03 16:03 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\components\coolirisstub.dll
2009-06-30 17:19 . 2009-07-03 16:03 4734976 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\libs\cooliris19.dll
2009-06-29 15:57 . 2009-06-29 15:57 -------- d-----w- c:\programme\Pacman 2005
2009-06-26 16:49 . 2005-12-18 01:29 672256 ------w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2005-12-18 01:29 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2005-12-18 01:29 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2005-12-18 01:29 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2005-12-17 17:39 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2005-12-18 01:29 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2005-12-18 01:29 1296896 ----a-w- c:\windows\system32\quartz.dll
2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys
2008-03-23 10:38 . 2008-03-18 20:12 56 --sh--r- c:\windows\system32\67635072A1.sys
2008-03-23 10:38 . 2005-12-18 12:59 9188 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-08-22_19.43.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-12-18 01:29 . 2009-08-23 18:51 866500 c:\windows\system32\perfh009.dat
+ 2005-12-18 01:29 . 2009-08-23 18:51 234610 c:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Audio Engine"="mmrtkrnl.exe" - c:\windows\system32\mmrtkrnl.exe [2008-12-02 70144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoChangeAnimation"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2008-07-25 282112]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=

R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [06.08.2008 00:25 431384]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752]
S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.05.2007 09:34 264704]
S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [19.02.2006 11:48 15104]
S3 s3chipid;s3chipid;\??\c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys --> c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys [?]
S3 SaiH5F0D;SaiH5F0D;c:\windows\system32\drivers\SaiH5F0D.sys [18.05.2008 11:55 176640]
S3 SaiU5F0D;SaiU5F0D;c:\windows\system32\drivers\SaiU5F0D.sys [18.05.2008 11:55 27264]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 20:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,8a,3c,a5,76,42,5c,7c,5b,fe,af,d2,af,4a,7c,0c,14,af,ca,30,78,93,d0,
67,4e,5b,f4,e9,40,7f,2f,52,44,8e,96,63,ff,ff,19,fd,39,25,01,cd,05,1a,fa,11,\
"??"=hex:f4,5a,5c,e9,f4,6d,27,be,18,58,98,0c,89,35,b9,c8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(884)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(1340)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\UAService7.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-23 20:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-23 18:59
ComboFix2.txt 2009-08-23 09:25
ComboFix3.txt 2009-08-22 20:28

Vor Suchlauf: 6.826.778.624 Bytes frei
Nach Suchlauf: 6.655.619.072 Bytes frei

293 --- E O F --- 2009-08-21 13:22

john.doe · 23.08.2009, 20:15

Das schaut doch schon viel freundlicher aus.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
vsmon
s3chipid

Folder::
c:\programme\TuneXP
c:\programme\Lavasoft
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Santuro · 23.08.2009, 20:30

ComboFix 09-08-21.02 - Galoris 23.08.2009 21:23.5.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.1087 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cfscript.txt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\%APPDATA%\Lavasoft\Ad-Aware\Update\aaw2008_upd.exe.new
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\FL.lslang.new
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\IT.lslang.new
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\NL.lslang.new
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\PT.lslang.new
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\License\adaware2007.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\MiniMessage\1
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\MiniMessage\2
c:\programme\Lavasoft
c:\programme\TuneXP
c:\programme\TuneXP\tunexp.bat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_S3CHIPID
-------\Service_s3chipid

((((((((((((((((((((((( Dateien erstellt von 2009-07-23 bis 2009-08-23 ))))))))))))))))))))))))))))))
.

2009-08-22 15:12 . 2009-08-22 15:16 -------- d-----w- c:\programme\trend micro
2009-08-22 10:45 . 2009-08-22 10:45 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Malwarebytes
2009-08-22 10:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-22 10:44 . 2009-08-22 10:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-22 10:44 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-22 10:44 . 2009-08-22 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-21 06:43 . 2009-08-21 06:43 -------- d-----w- c:\programme\CCleaner
2009-08-13 16:02 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-28 14:52 . 2009-07-28 14:52 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-23 19:04 . 2009-08-23 18:59 4912 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2009-08-23 18:41 . 2007-11-30 13:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-19 08:51 . 2006-12-23 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-05 18:05 . 2009-03-21 14:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2005-12-18 01:29 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 16:05 . 2007-07-07 12:12 -------- d-----w- c:\programme\Bengal
2009-07-26 20:17 . 2007-08-07 16:39 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\ChessBase
2009-07-21 15:04 . 2009-07-21 15:04 10134 ----a-r- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-07-21 15:04 . 2009-07-21 15:04 -------- d-----w- c:\programme\Microsoft WSE
2009-07-21 14:15 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Miranda Fusion
2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\programme\MirandaFusion
2009-07-18 20:11 . 2008-08-15 12:35 -------- d-----w- c:\programme\ICQ6
2009-07-17 19:01 . 2005-12-18 01:29 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-12-18 01:29 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:22 . 2009-03-06 05:59 -------- d-----w- c:\programme\AutoGK
2009-07-11 12:22 . 2007-10-12 15:52 -------- d-----w- c:\programme\Xvid
2009-07-11 12:22 . 2008-03-18 20:43 -------- d-----w- c:\programme\AviSynth 2.5
2009-07-11 09:47 . 2009-07-11 09:47 -------- d-----w- c:\programme\Lavalys
2009-07-06 20:44 . 2009-07-08 15:11 103424 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-07-06 20:44 . 2009-07-08 15:11 937984 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-07-06 20:44 . 2009-07-08 15:11 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-07-06 20:44 . 2009-07-08 15:11 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-07-06 20:44 . 2009-07-08 15:11 4722688 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-07-06 20:44 . 2009-07-08 15:11 344064 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-07-01 20:13 . 2008-04-14 14:34 -------- d-----w- c:\programme\Google
2009-07-01 19:54 . 2008-08-15 13:13 -------- d-----w- c:\programme\Miranda IM
2009-06-30 17:19 . 2009-07-03 16:03 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll
2009-06-30 17:19 . 2009-07-03 16:03 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\components\coolirisstub.dll
2009-06-30 17:19 . 2009-07-03 16:03 4734976 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\libs\cooliris19.dll
2009-06-29 15:57 . 2009-06-29 15:57 -------- d-----w- c:\programme\Pacman 2005
2009-06-26 16:49 . 2005-12-18 01:29 672256 ------w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2005-12-18 01:29 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2005-12-18 01:29 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2005-12-18 01:29 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2005-12-17 17:39 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2005-12-18 01:29 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2005-12-18 01:29 1296896 ----a-w- c:\windows\system32\quartz.dll
2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys
2008-03-23 10:38 . 2008-03-18 20:12 56 --sh--r- c:\windows\system32\67635072A1.sys
2008-03-23 10:38 . 2005-12-18 12:59 9188 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-08-22_19.43.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-12-18 01:29 . 2009-08-23 19:04 867128 c:\windows\system32\perfh009.dat
+ 2005-12-18 01:29 . 2009-08-23 19:04 234854 c:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Audio Engine"="mmrtkrnl.exe" - c:\windows\system32\mmrtkrnl.exe [2008-12-02 70144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoChangeAnimation"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2008-07-25 282112]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"d:\\Programme\\Anno 1701\\Anno1701.exe"=

R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [06.08.2008 00:25 431384]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752]
S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.05.2007 09:34 264704]
S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [19.02.2006 11:48 15104]
S3 SaiH5F0D;SaiH5F0D;c:\windows\system32\drivers\SaiH5F0D.sys [18.05.2008 11:55 176640]
S3 SaiU5F0D;SaiU5F0D;c:\windows\system32\drivers\SaiU5F0D.sys [18.05.2008 11:55 27264]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 21:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,8a,3c,a5,76,42,5c,7c,5b,fe,af,d2,af,4a,7c,0c,14,af,ca,30,78,93,d0,
67,4e,5b,f4,e9,40,7f,2f,52,44,8e,96,63,ff,ff,19,fd,39,25,01,cd,05,1a,fa,11,\
"??"=hex:f4,5a,5c,e9,f4,6d,27,be,18,58,98,0c,89,35,b9,c8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(832)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(888)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(2596)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\UAService7.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-23 21:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-23 19:31
ComboFix2.txt 2009-08-23 18:59
ComboFix3.txt 2009-08-23 09:25
ComboFix4.txt 2009-08-22 20:28

Vor Suchlauf: 6.665.256.960 Bytes frei
Nach Suchlauf: 6.624.038.912 Bytes frei

183 --- E O F --- 2009-08-21 13:22

john.doe · 23.08.2009, 20:37

1.) Start => Ausführen => combofix /u => OK

2.) http://www.trojaner-board.de/51871-a...tispyware.html

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Santuro · 25.08.2009, 11:13

1): Combofix wurde deinstalliert
2):SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 08/24/2009 bei 11:42 PM

Version der Applikation : 4.27.1002

Version der Kern-Datenbank : 4069
Version der Spur-Datenbank : 2009

Scan Art : kompletter Scann
Totale Scann-Zeit : 03:01:44

Gescannte Speicherelemente : 379
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6784
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 259297
Erfasste Datei-Elemente : 0

3): ;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-25 12:06:32
PROTECTIONS: 0
MALWARE: 2
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Galoris\Cookies\galoris@tribalfusion[2].txt
02106838 Trj/Banbra.GIY Virus/Trojan No 1 Yes No C:\Dokumente und Einstellungen\Galoris\Eigene Dateien\Desktop\Programme\Security\Hopsassa.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 3;
;===================================================================================================================================================== ==============================
No D:\DigitaleSchultasche\Programme\Gimp\App\gtk\bin\gspawn-win32-helper.exe 3;
No H:\Programme\Gimp\App\GTK\BIN\gspawn-win32-helper.exe 3;
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 3;
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

4): PrevXCSI hat nichts gefunden

john.doe · 25.08.2009, 15:04

Deinstalliere:

Panda Active Scan
PrevxCSI

Lösche Avenger (aka Hopsassa).

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen?

ciao, andreas

Santuro · 25.08.2009, 19:46

Die zwei programme hab ich deinstalliert
Soll ich SUPERAntiSpyware behalten?
Kann ich Avenger einfach so löschen, oder brauchts da auch so ein Ausführungscode wie bei Combofix?

Was hats mit dem Trojaner auf sich, den Panda gefunden hat?

Soweit gehts meinem computer gut, woran sollte ich noch was ungewöhliches bemerken?

g

john.doe · 25.08.2009, 19:54

Zitat:

Soll ich SUPERAntiSpyware behalten?

Wie du möchtest, aber deaktiviere den Wächter, falls du es behältst.

Zitat:

Kann ich Avenger einfach so löschen, oder brauchts da auch so ein Ausführungscode wie bei Combofix?

Ja einfach löschen. Kannst auch Malwarebytes laufen lassen, der löscht den nämlich immer weg.

Zitat:

Was hats mit dem Trojaner auf sich, den Panda gefunden hat?

Panda hat einen Cookie gefunden und Avenger (Hopsassa), den alle AVPs für gefährlich halten.

Zitat:

Soweit gehts meinem computer gut, woran sollte ich noch was ungewöhliches bemerken?

Umleitungen, geänderte Geschwindigkeit, Meldungen vom AVP, u.a.

Du bist entlassen.

ciao, andreas

Santuro · 25.08.2009, 20:07

Der computer läuft zwar etwas schneller, liegt aber dann eher an der Tatsache, dass ich weniger AVPs habe^^

Also nochmals vielen vielen Dank für die Hilfe!!!

Gruß Santuro

john.doe · 25.08.2009, 20:20

Jetzt hätte ich doch beinahe die Softwareliste übersehen.

1.) Deinstalliere:

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
J2SE Runtime Environment 5.0 Update 5
Mozilla Firefox (3.0.13)
Shockwave

2.) Installiere (Toolbars immer abwählen, Haken weg):

3.) Poste ein aktuelles HJT-Log.

ciao, andreas

Santuro · 25.08.2009, 20:56

Logfile of random's system information tool 1.06 (written by random/random)
Run by Galoris at 2009-08-25 21:55:25
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 11 GB (15%) free of 76 GB
Total RAM: 1534 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:42, on 25.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\mmrtkrnl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Dokumente und Einstellungen\Galoris\Eigene Dateien\Desktop\Programme\Security\RSIT.exe
C:\Programme\trend micro\Galoris.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: MedionShop - {3FD261A4-796F-4A71-91C1-705EFF6B8B29} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://.aldi.com/
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h***://update.microsoft.com/w...?1134842576125
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Seagate Scheduler2 Service (SgtSch2Svc) - Seagate - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - h***://80.190.202.79/pic/h/herzl/see10.jpg

--
End of file - 6762 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-25 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Realtime Audio Engine"=mmrtkrnl.exe /i []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-25 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-10-29 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"=C:\WINDOWS\system32\mscoree.dll [2008-07-25 282112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"MemCheckBoxInRunDlg"=1
"NoStrCmpLogical"=1
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoChangeAnimation"=
"NoStrCmpLogical"=
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*

isabled:Microsoft DirectPlay8 Server"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MirandaFusion\miranda32.exe"="C:\Programme\MirandaFusion\miranda32.exe:*:Enabled:Miranda Fusion"
"D:\Programme\Anno 1701\Anno1701.exe"="D:\Programme\Anno 1701\Anno1701.exe:*

isabled:Anno 1701"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"
"C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\Programme\CA\eTrust Antivirus\Realmon.exe"="C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\Programme\CA\eTrust Antivirus\InoRpc.exe"="C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"
"C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
shell\AutoRun\command - I:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe8b31bc-ff91-11db-80c2-0013d3f8fef9}]
shell\AutoRun\command - I:\pushinst.exe

======List of files/folders created in the last 1 months======

2009-08-25 21:55:25 ----D---- C:\rsit
2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\javaws.exe
2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\javaw.exe
2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\java.exe
2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-08-25 21:43:37 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Foxit
2009-08-25 21:43:20 ----D---- C:\Programme\Foxit Software
2009-08-25 21:27:19 ----SHD---- C:\Config.Msi
2009-08-25 20:43:02 ----D---- C:\Programme\Avira
2009-08-25 20:43:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-08-25 12:53:36 ----SHD---- C:\RECYCLER
2009-08-25 10:00:58 ----D---- C:\Programme\Panda Security
2009-08-24 20:25:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-24 20:25:05 ----D---- C:\Programme\SUPERAntiSpyware
2009-08-24 20:25:05 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-24 20:03:29 ----SD---- C:\cofi
2009-08-23 22:39:50 ----A---- C:\WINDOWS\imsins.BAK
2009-08-23 22:39:47 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2009-08-23 21:31:42 ----A---- C:\ComboFix.txt
2009-08-23 21:25:55 ----D---- C:\WINDOWS\temp
2009-08-23 20:59:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2009-08-22 21:26:56 ----A---- C:\Boot.bak
2009-08-22 21:26:48 ----RASHD---- C:\cmdcons
2009-08-22 21:08:13 ----D---- C:\WINDOWS\ERDNT
2009-08-22 17:12:36 ----D---- C:\Programme\trend micro
2009-08-22 12:45:12 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Malwarebytes
2009-08-22 12:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-22 12:44:56 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-21 15:21:40 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
2009-08-21 08:43:41 ----D---- C:\Programme\CCleaner
2009-08-13 22:09:52 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-13 22:09:40 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-13 22:09:29 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-13 22:09:16 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-13 22:09:05 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-13 22:08:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-13 22:08:41 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-13 22:08:26 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-13 22:04:55 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-07-29 15:57:33 ----HDC---- C:\WINDOWS\$NtUninstallKB972260$
2009-07-28 16:52:15 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ

======List of files/folders modified in the last 1 months======

2009-08-25 21:53:28 ----RD---- C:\Programme
2009-08-25 21:51:37 ----SHD---- C:\WINDOWS\Installer
2009-08-25 21:51:29 ----D---- C:\WINDOWS\system32
2009-08-25 21:51:11 ----D---- C:\Programme\Java
2009-08-25 21:48:18 ----D---- C:\Programme\Mozilla Firefox
2009-08-25 21:47:57 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-25 21:46:16 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-25 21:45:57 ----A---- C:\WINDOWS\ModemLog_Standard 33600 bps Modem.txt
2009-08-25 21:43:37 ----D---- C:\Programme\Mozilla Thunderbird
2009-08-25 21:37:22 ----D---- C:\WINDOWS
2009-08-25 21:29:00 ----D---- C:\WINDOWS\WinSxS
2009-08-25 21:27:41 ----D---- C:\Programme\Adobe
2009-08-25 21:27:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-08-25 21:27:34 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-08-25 20:43:09 ----HD---- C:\WINDOWS\inf
2009-08-25 20:43:09 ----D---- C:\WINDOWS\system32\drivers
2009-08-25 12:07:38 ----A---- C:\WINDOWS\WININIT.INI
2009-08-25 09:50:40 ----SHD---- C:\System Volume Information
2009-08-25 09:50:40 ----D---- C:\WINDOWS\system32\Restore
2009-08-23 22:39:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-23 21:27:57 ----A---- C:\WINDOWS\system.ini
2009-08-23 21:26:10 ----D---- C:\WINDOWS\system32\config
2009-08-23 21:25:00 ----D---- C:\WINDOWS\AppPatch
2009-08-23 21:24:58 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-23 20:53:44 ----SD---- C:\WINDOWS\Tasks
2009-08-23 20:51:29 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-08-23 20:41:25 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-23 20:16:23 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-22 21:52:11 ----D---- C:\WINDOWS\Minidump
2009-08-22 21:26:57 ----RASH---- C:\boot.ini
2009-08-22 12:08:22 ----D---- C:\WINDOWS\Debug
2009-08-21 15:21:58 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-21 10:35:15 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-21 10:34:34 ----RSD---- C:\WINDOWS\assembly
2009-08-20 22:58:19 ----D---- C:\WINDOWS\system32\XPSViewer
2009-08-20 22:58:16 ----D---- C:\WINDOWS\system32\en-us
2009-08-20 22:58:10 ----RSD---- C:\WINDOWS\Fonts
2009-08-19 10:51:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-17 11:50:20 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-13 22:08:43 ----D---- C:\Programme\Outlook Express
2009-08-07 21:09:31 ----A---- C:\WINDOWS\IWB.INI
2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll
2009-08-01 22:37:11 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Adobe
2009-07-31 18:05:04 ----D---- C:\Programme\Bengal
2009-07-31 11:46:32 ----A---- C:\WINDOWS\cdplayer.ini
2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-28 16:52:19 ----D---- C:\WINDOWS\system32\FxsTmp
2009-07-26 22:17:05 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\ChessBase
2009-07-26 22:03:42 ----A---- C:\WINDOWS\ChssBase.ini

TR/crypt.ZPACK.Gen - Hilfe

Plagegeister aller Art und deren Bekämpfung: TR/crypt.ZPACK.Gen - Hilfe