Trojaner!? Problem mit Googleinstaller!

birki86 · 29.08.2009, 10:34

und die Fortsetzung:

Code:

ATTFilter

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"SunJavaUpdateSched"="d:\programme\Java\jre6\bin\jusched.exe" [2009-08-26 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05	356352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"VMware NAT Service"=2 (0x2)
"VMnetDHCP"=2 (0x2)
"VMAuthdService"=2 (0x2)
"ufad-ws60"=3 (0x3)
"ScriptHostService110"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"NVSvc"=2 (0x2)
"JobManagerService110"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"gusvc"=2 (0x2)
"gupdate1c985f3b3857f6c"=2 (0x2)
"FLEXnet Licensing Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"ANSYS FLEXlm license manager"=2 (0x2)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JobManagerService.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMAdmin.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMPassword.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\ScriptHostService.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CommonFiles\\intel\\AnsysWBU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\ANSYS\\bin\\intel\\ANSYS.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ActivePIMgrU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ReaderHostU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\tclsh.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\wish.exe"=
"d:\\Spiele\\Valve\\Steam\\SteamApps\\"username"\\codename gordon\\cg.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009


R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12.12.2003 17:49 77312]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.12.2008 12:06 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [22.12.2008 12:05 55024]
R2 PEDRV;P&E Microcomputer System PCI Driver.;c:\windows\system32\drivers\pedrv.sys [03.08.2000 15:25 23296]
R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [23.09.2008 14:34 22688]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:08 54960]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [12.05.2009 21:19 89600]
S2 uDART01;SofTec Microsystems USB Driver;c:\windows\system32\drivers\sftdrv01.sys [26.09.2005 11:44 133708]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [10.01.2009 18:44 8704]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [10.01.2009 18:44 3072]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.11.2008 19:59 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.11.2008 19:59 8320]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [22.12.2008 12:06 7408]
S4 ANSYS FLEXlm license manager;ANSYS FLEXlm license manager;c:\progra~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe [10.10.2008 16:12 1294336]
S4 gupdate1c985f3b3857f6c;Google Update Service (gupdate1c985f3b3857f6c);c:\programme\Google\Update\GoogleUpdate.exe [03.02.2009 13:36 133104]
S4 JobManagerService110;Ansys JobManager Service V11;d:\programme\ANSYS Inc\v100\RSM\bin\JobManagerService.exe [16.01.2007 15:20 20480]
S4 ScriptHostService110;Ansys ScriptHost Service V11;d:\programme\ANSYS Inc\v100\RSM\bin\ScriptHostService.exe [16.01.2007 15:20 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-29 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-18 19:16]

2009-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 11:36]

2009-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-03 11:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - d:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: d:\programme\VMware\VMware Workstation\vsocklib.dll
TCP: {DA02D8D1-1815-4F52-9970-696749BA4ABD} = 192.168.0.99
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-29 11:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3624)
d:\programme\Logitech\iTouch\iTchHk.dll
c:\windows\system32\ieframe.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-08-29 11:25
ComboFix-quarantined-files.txt  2009-08-29 09:25
ComboFix2.txt  2009-08-26 17:22

Vor Suchlauf: 14 Verzeichnis(se), 20.824.313.856 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 20.822.757.376 Bytes frei

358	--- E O F ---	2009-08-16 21:08

john.doe · 29.08.2009, 10:38

Das Script wurde nicht abgearbeitet. Lade dir den Anhang auf deinen Desktop und ziehe ihn auf das ComboFix-Symbol. Das Log wird sehr groß werden. Du kannst es auch bei einem Filehoster hochladen (z.B. www.materialordner.de) und hier den Link posten.

ciao, andreas

birki86 · 29.08.2009, 11:06

Hmm... hat anscheinend beim ersten mal nicht funktioniert. Hab mich aber an deine Anleitung gehalten. Egal.
Hier der neue Log:
Download Logfile

MfG

john.doe · 29.08.2009, 11:29

1.) Deinstalliere:

Kaspersky Online Scan
SuperAntiSpyware

2.) Scripten mit Combofix

"username" vorher ersetzen!

Öffne den Editor (Start => (Alle) Programme => Zubehör => Editor) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
SASENUM
SASKUTIL
SASDIFSV

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

File::
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
c:\windows\system32\xa.tmp
c:\dokumente und einstellungen\"username"\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\rn.tmp
c:\windows\system32\CatRoot2\tmp.edb
c:\windows\system32\zgildphgkr

Folder::
c:\programme\Google\Update
c:\windows\system32\Kaspersky Lab
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
C:\rsit
c:\windows\SxsCaPendDel
c:\programme\SUPERAntiSpyware

DirLook::
C:\blallaa

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

birki86 · 29.08.2009, 12:45

Der nächste Log:

Code:

ATTFilter

ComboFix 09-08-28.05 - "username" 29.08.2009 13:27.4.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.556 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\"username"\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\"username"\Desktop\cfscript.txt

FILE ::
"c:\dokumente und einstellungen\"username"\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\windows\system32\CatRoot2\tmp.edb"
"c:\windows\system32\perfc007.dat"
"c:\windows\system32\perfh007.dat"
"c:\windows\system32\rn.tmp"
"c:\windows\system32\xa.tmp"
"c:\windows\system32\zgildphgkr"
"c:\windows\Tasks\Google Software Updater.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\"username"\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\programme\Google\Update
c:\programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
c:\programme\Google\Update\1.2.183.7\GoogleUpdate.exe
c:\programme\Google\Update\1.2.183.7\GoogleUpdateHelper.msi
c:\programme\Google\Update\1.2.183.7\goopdate.dll
c:\programme\Google\Update\1.2.183.7\GoopdateBho.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ar.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_bg.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_bn.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ca.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_cs.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_da.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_de.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_el.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_en-GB.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_en.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_es-419.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_es.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_et.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_fa.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_fi.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_fil.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_fr.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_gu.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_hi.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_hr.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_hu.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_id.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_is.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_it.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_iw.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ja.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_kn.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ko.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_lt.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_lv.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ml.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_mr.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ms.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_nl.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_no.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_or.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_pl.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_pt-BR.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_pt-PT.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ro.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ru.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_sk.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_sl.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_sr.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_sv.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ta.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_te.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_th.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_tr.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_uk.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_ur.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_vi.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_zh-CN.dll
c:\programme\Google\Update\1.2.183.7\goopdateres_zh-TW.dll
c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll
c:\programme\Google\Update\GoogleUpdate.exe
c:\programme\SUPERAntiSpyware
c:\programme\SUPERAntiSpyware\6c3e5e2e-3056-4025-a9fb-674c567493da.exe
c:\programme\SUPERAntiSpyware\e9a4ae18-753f-4b86-88ff-a937fb55c10e.exe
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\SxsCaPendDel
c:\windows\system32\CatRoot2\tmp.edb
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\rn.tmp
c:\windows\system32\xa.tmp
c:\windows\system32\zgildphgkr
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SASDIFSV
-------\Legacy_SASENUM
-------\Legacy_SASKUTIL


(((((((((((((((((((((((   Dateien erstellt von 2009-07-28 bis 2009-08-29  ))))))))))))))))))))))))))))))
.

2009-08-26 18:55 . 2009-08-26 19:03	152576	----a-w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-26 18:53 . 2009-08-26 18:53	--------	d-sh--w-	c:\dokumente und einstellungen\"username"\PrivacIE
2009-08-26 18:52 . 2009-08-26 18:52	--------	d-sh--w-	c:\dokumente und einstellungen\"username"\IETldCache
2009-08-26 18:49 . 2009-08-26 18:49	--------	dc-h--w-	c:\windows\ie8
2009-08-26 16:48 . 2009-08-26 16:48	--------	d-s---w-	C:\blallaa
2009-08-23 12:07 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-23 12:07 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-03 13:53 . 2009-08-22 16:17	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-08-03 13:53 . 2008-10-28 15:03	55856	----a-r-	c:\windows\system32\vnetinst.dll
2009-08-03 13:53 . 2008-10-28 15:03	16560	----a-r-	c:\windows\system32\drivers\vmnetadapter.sys
2009-08-03 13:53 . 2008-10-28 21:08	26288	----a-w-	c:\windows\system32\drivers\vmnetuserif.sys
2009-08-03 13:53 . 2008-10-28 21:08	326192	----a-w-	c:\windows\system32\vmnetdhcp.exe
2009-08-03 13:53 . 2008-10-28 21:07	399920	----a-w-	c:\windows\system32\vmnat.exe
2009-08-03 13:53 . 2008-10-28 15:03	50736	----a-r-	c:\windows\system32\vmnetbridge.dll
2009-08-03 13:53 . 2008-10-28 15:03	31280	----a-r-	c:\windows\system32\drivers\vmnetbridge.sys
2009-08-03 13:53 . 2008-10-28 15:03	18736	----a-r-	c:\windows\system32\drivers\vmnet.sys
2009-08-03 13:53 . 2008-10-28 21:08	723504	----a-w-	c:\windows\system32\vnetlib.dll
2009-08-03 13:53 . 2008-10-28 21:08	23216	----a-w-	c:\windows\system32\drivers\VMkbd.sys
2009-08-03 13:51 . 2009-08-22 16:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-08-03 13:50 . 2009-08-03 13:50	--------	d-----w-	c:\programme\VMware

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 11:30 . 2008-08-18 18:24	--------	d-----w-	c:\programme\Google
2009-08-26 18:56 . 2009-03-29 12:39	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-08-26 18:41 . 2008-08-13 08:37	--------	d-----w-	c:\programme\Java
2009-08-23 12:08 . 2009-01-04 09:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-17 16:10 . 2009-08-03 13:58	--------	d-----w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\VMware
2009-08-12 18:34 . 2008-08-09 11:37	--------	d-----w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\ICQ
2009-08-11 17:39 . 2008-10-09 15:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-08-06 09:03 . 2009-03-28 17:09	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2006-02-28 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 21:46 . 2008-08-05 07:41	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-07-25 21:43 . 2009-07-25 21:43	22328	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-07-25 21:43 . 2009-07-25 21:43	22328	----a-w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys
2009-07-25 21:43 . 2009-07-25 21:43	22328	----a-w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys
2009-07-25 21:43 . 2009-07-25 21:43	103736	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-07-25 21:43 . 2009-07-25 21:43	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-07-17 19:01 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-02-28 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-16 14:36 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 12:00	82944	----a-w-	c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-08-04 18:01	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-02-28 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\blallaa ----

2009-08-26 16:48 . 2009-08-26 16:48	620	----a-w-	c:\blallaa\ForeignWht
2009-08-26 16:48 . 2009-08-26 16:48	10	----a-w-	c:\blallaa\erunt.dat
2009-08-26 16:48 . 2009-08-26 16:48	0	----a-w-	c:\blallaa\N_\21596
2009-08-26 16:48 . 2009-08-26 16:48	12	----a-w-	c:\blallaa\kmd.dat
2009-08-26 16:48 . 2009-08-26 16:48	137	----a-w-	c:\blallaa\N_\19989
2009-08-26 16:48 . 2000-08-31 06:00	161792	----a-r-	c:\blallaa\SWREG.cfxxe
2009-08-26 16:48 . 2009-08-26 16:48	30	----a-w-	c:\blallaa\N_\6217
2009-08-26 16:48 . 2009-08-26 16:48	113	----a-w-	c:\blallaa\desktop.ini
2009-08-26 16:48 . 2009-08-26 16:48	91	----a-w-	c:\blallaa\CCS.bat
2009-08-26 16:48 . 2009-08-26 16:48	24	----a-w-	c:\blallaa\N_\4583
2009-08-26 16:48 . 2009-08-26 16:48	0	----a-w-	c:\blallaa\N_\1531
2009-08-26 16:48 . 2009-08-26 16:48	0	----a-w-	c:\blallaa\NULL
2009-08-26 16:48 . 2009-08-26 16:48	65	----a-w-	c:\blallaa\temp00
2009-08-26 16:46 . 2009-08-26 16:48	99	----a-w-	c:\blallaa\Resident.txt
2009-08-26 16:46 . 2006-02-28 12:00	21504	----a-r-	c:\blallaa\ROUTE.cfxxe
2009-08-26 16:46 . 2008-04-14 02:22	18944	----a-r-	c:\blallaa\PING.cfxxe
2009-08-26 16:46 . 2008-05-07 09:07	135168	----a-r-	c:\blallaa\CSCRIPT.cfxxe
2009-08-26 16:46 . 2008-04-14 02:22	12288	----a-r-	c:\blallaa\ATTRIB.cfxxe
2009-08-26 16:46 . 2008-04-14 02:22	28160	----a-r-	c:\blallaa\FINDSTR.cfxxe
2009-08-26 16:46 . 2009-08-26 16:46	14	----a-w-	c:\blallaa\sfx.cmd
2009-08-26 16:46 . 2009-08-26 16:46	6	----a-w-	c:\blallaa\NlsLanguageDefault
2009-08-26 16:46 . 2009-08-26 16:46	16	----a-w-	c:\blallaa\CHCP.bat
2009-08-26 16:46 . 2009-08-26 16:46	40	----a-w-	c:\blallaa\XP.mac
2009-08-26 16:46 . 2009-04-20 10:56	31232	----a-w-	c:\blallaa\NircmdB.exe
2009-08-26 16:46 . 2009-08-26 16:46	43	----a-w-	c:\blallaa\OsVer
2009-08-26 16:46 . 2009-08-23 01:09	229376	----a-r-	c:\blallaa\pev.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	1057	----a-w-	c:\blallaa\image001.gif
2009-08-26 16:46 . 2000-08-31 06:00	977	----a-w-	c:\blallaa\OSid.vbs
2009-08-26 16:46 . 2009-05-01 20:26	587	----a-w-	c:\blallaa\restore_pt.vbs
2009-08-26 16:46 . 2000-08-31 06:00	2176	----a-w-	c:\blallaa\SvcDrv.vbs
2009-08-26 16:46 . 2009-05-13 23:08	592	----a-w-	c:\blallaa\Wmi_rem.vbs
2009-08-26 16:46 . 2009-07-13 21:09	602	----a-w-	c:\blallaa\asp.str
2009-08-26 16:46 . 2009-05-13 16:09	1464	----a-w-	c:\blallaa\av.vbs
2009-08-26 16:46 . 2000-08-31 06:00	746	----a-w-	c:\blallaa\DPF.str
2009-08-26 16:46 . 2000-08-31 06:00	2428	----a-w-	c:\blallaa\lnkread.vbs
2009-08-26 16:46 . 2000-08-31 06:00	3558	----a-w-	c:\blallaa\REGDACL.sed
2009-08-26 16:46 . 2000-08-31 06:00	9203	----a-w-	c:\blallaa\RegDo.sed
2009-08-26 16:46 . 2000-08-31 06:00	287	----a-w-	c:\blallaa\run2.sed
2009-08-26 16:46 . 2009-06-10 09:38	30	----a-w-	c:\blallaa\Rust.str
2009-08-26 16:46 . 2000-08-31 06:00	413	----a-w-	c:\blallaa\toolbar.sed
2009-08-26 16:46 . 2009-05-25 07:59	7983	----a-w-	c:\blallaa\ddsDo.sed
2009-08-26 16:46 . 2000-08-31 06:00	303	----a-w-	c:\blallaa\embedded.sed
2009-08-26 16:46 . 2009-08-12 01:53	13693	----a-w-	c:\blallaa\Exe.reg
2009-08-26 16:46 . 2009-08-26 19:33	2210	----a-w-	c:\blallaa\files.pif
2009-08-26 16:46 . 2009-08-26 19:33	4794	----a-w-	c:\blallaa\md5sum.pif
2009-08-26 16:46 . 2009-04-20 10:56	31232	----a-w-	c:\blallaa\n.pif
2009-08-26 16:46 . 2005-10-20 18:02	163328	----a-w-	c:\blallaa\ERDNT.e_e
2009-08-26 16:46 . 2000-08-31 06:00	2815	----a-w-	c:\blallaa\ERDNTDOS.LOC
2009-08-26 16:46 . 2000-08-31 06:00	3275	----a-w-	c:\blallaa\ERDNTWIN.LOC
2009-08-26 16:46 . 2000-08-31 06:00	4090	----a-w-	c:\blallaa\ERUNT.LOC
2009-08-26 16:46 . 2009-08-24 23:42	45560	----a-w-	c:\blallaa\srizbi.md5
2009-08-26 16:46 . 2009-08-19 16:55	53121	----a-w-	c:\blallaa\xpreg.dat
2009-08-26 16:46 . 2000-08-31 06:00	23773	----a-w-	c:\blallaa\zDomain.dat
2009-08-26 16:46 . 2009-08-23 23:05	34271	----a-w-	c:\blallaa\zhsvc.dat
2009-08-26 16:46 . 2000-08-31 06:00	555	----a-w-	c:\blallaa\svchost.dat
2009-08-26 16:46 . 2000-08-31 06:00	668	----a-w-	c:\blallaa\svchost.vista.dat
2009-08-26 16:46 . 2000-08-31 06:00	276	----a-w-	c:\blallaa\system_ini.dat
2009-08-26 16:46 . 2009-08-18 11:25	13492	----a-w-	c:\blallaa\vistareg.dat
2009-08-26 16:46 . 2009-08-18 11:26	37721	----a-w-	c:\blallaa\w2kreg.dat
2009-08-26 16:46 . 2009-05-23 00:29	1149	----a-w-	c:\blallaa\region.dat
2009-08-26 16:46 . 2000-08-31 06:00	820	----a-w-	c:\blallaa\rogues.dat
2009-08-26 16:46 . 2000-08-31 06:00	329	----a-w-	c:\blallaa\safeboot.dat
2009-08-26 16:46 . 2009-06-10 00:25	1464	----a-w-	c:\blallaa\safeboot.def.dat
2009-08-26 16:46 . 2000-08-31 06:00	463	----a-w-	c:\blallaa\safeboot.def.vista.dat
2009-08-26 16:46 . 2009-05-22 23:52	12065	----a-w-	c:\blallaa\svc_wht.dat
2009-08-26 16:46 . 2009-08-02 02:20	472	----a-w-	c:\blallaa\netsvc.bad.dat
2009-08-26 16:46 . 2000-08-31 06:00	159	----a-w-	c:\blallaa\netsvc.dat
2009-08-26 16:46 . 2000-08-31 06:00	481	----a-w-	c:\blallaa\netsvc.vista.dat
2009-08-26 16:46 . 2000-08-31 06:00	525	----a-w-	c:\blallaa\netsvc.xp.dat
2009-08-26 16:46 . 2000-08-31 06:00	88	----a-w-	c:\blallaa\NetworkService.dat
2009-08-26 16:46 . 2009-07-06 01:51	2992	----a-w-	c:\blallaa\Policies.dat
2009-08-26 16:46 . 2000-08-31 06:00	404	----a-w-	c:\blallaa\Purity.dat
2009-08-26 16:46 . 2000-08-31 06:00	7478	----a-w-	c:\blallaa\RCLink.dat
2009-08-26 16:46 . 2009-08-15 04:58	406	----a-w-	c:\blallaa\CregC.dat
2009-08-26 16:46 . 2009-08-12 01:54	660	----a-w-	c:\blallaa\Fin.dat
2009-08-26 16:46 . 2000-08-31 06:00	225	----a-w-	c:\blallaa\LocalService.dat
2009-08-26 16:46 . 2000-08-31 06:00	91	----a-w-	c:\blallaa\LocalServiceNetworkRestricted.dat
2009-08-26 16:46 . 2000-08-31 06:00	198	----a-w-	c:\blallaa\LocalSystemNetworkRestricted.dat
2009-08-26 16:46 . 2000-08-31 06:00	0	----a-w-	c:\blallaa\mynul.dat
2009-08-26 16:46 . 2000-08-31 06:00	287	----a-w-	c:\blallaa\ndis_combofix.dat
2009-08-26 16:46 . 2000-08-31 06:00	2126	----a-w-	c:\blallaa\023v.dat
2009-08-26 16:46 . 2009-08-26 13:39	624882	----a-w-	c:\blallaa\Creg.dat
2009-08-26 16:46 . 2009-05-25 03:25	38866	----a-w-	c:\blallaa\023.dat
2009-08-26 16:46 . 1999-11-10 06:00	35328	----a-r-	c:\blallaa\tail.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	68096	----a-r-	c:\blallaa\zip.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	98816	----a-r-	c:\blallaa\sed.cfxxe
2009-08-26 16:46 . 2009-08-12 02:35	30222	----a-r-	c:\blallaa\setpath.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	136704	----a-r-	c:\blallaa\swsc.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	212480	----a-r-	c:\blallaa\swxcacls.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	15360	----a-r-	c:\blallaa\gsar.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	181776	----a-r-	c:\blallaa\handle.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	11264	----a-r-	c:\blallaa\mtee.cfxxe
2009-08-26 16:46 . 2009-08-23 03:31	662	----a-r-	c:\blallaa\ncmd.cfxxe
2009-08-26 16:46 . 2009-04-20 10:56	31232	----a-r-	c:\blallaa\NirCmd.cfxxe
2009-08-26 16:46 . 2009-04-20 10:56	30720	----a-r-	c:\blallaa\NirCmdC.cfxxe
2009-08-26 16:46 . 2005-10-20 18:00	157696	----a-r-	c:\blallaa\ERUNT.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	52736	----a-r-	c:\blallaa\extract.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	80412	----a-r-	c:\blallaa\grep.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	141312	----a-r-	c:\blallaa\ComboFix-Download.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	101376	----a-r-	c:\blallaa\dd.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	51200	----a-r-	c:\blallaa\dumphive.cfxxe
2009-08-26 16:46 . 2000-08-31 06:00	6760	----a-w-	c:\blallaa\appinit.bad
2009-08-26 16:46 . 2006-12-04 09:09	13312	----a-r-	c:\blallaa\AspackDie.cfxxe
2009-08-26 16:46 . 2009-04-17 15:37	147456	----a-r-	c:\blallaa\catchme.cfxxe
2009-08-26 16:46 . 2009-08-23 22:24	4607	----a-r-	c:\blallaa\VInfo
2009-08-26 16:46 . 2001-02-15 13:03	10240	----a-w-	c:\blallaa\ForceLibrary.dll
2009-08-26 16:46 . 2009-06-21 13:34	90202	----a-w-	c:\blallaa\w2k_sock.dll
2009-08-26 16:46 . 2009-06-21 12:45	98948	----a-w-	c:\blallaa\w_sock.dll
2009-08-26 16:46 . 2000-08-31 06:00	7680	----a-w-	c:\blallaa\BootSect.dll
2009-08-26 16:46 . 2000-08-31 06:00	36201	----a-w-	c:\blallaa\ffdefstr.dll
2009-08-26 16:46 . 2000-08-31 06:00	161792	----a-w-	c:\blallaa\swreg.exe
2009-08-26 16:46 . 2005-08-15 23:54	1536	----a-w-	c:\blallaa\hidec.exe
2009-08-26 16:46 . 2009-04-20 10:56	31232	----a-w-	c:\blallaa\iexplore.exe
2009-08-26 16:46 . 2009-08-23 01:09	229376	----a-w-	c:\blallaa\pev.exe
2009-08-26 16:46 . 2006-03-02 21:42	73728	----a-w-	c:\blallaa\pv.com
2009-08-26 16:46 . 2009-08-26 19:33	237662	----a-w-	c:\blallaa\clsid.c
2009-08-26 16:46 . 2009-08-14 02:54	2374	----a-w-	c:\blallaa\Prep.inf
2009-08-26 16:46 . 2009-08-26 19:33	781362	----a-w-	c:\blallaa\badclsid.c
2009-08-26 16:46 . 2009-08-16 11:39	3351	----a-w-	c:\blallaa\SnapShot.cmd
2009-08-26 16:46 . 2009-08-12 01:49	2135	----a-w-	c:\blallaa\SRestore.cmd
2009-08-26 16:46 . 2009-07-27 23:06	19200	----a-w-	c:\blallaa\SuppScan.cmd
2009-08-26 16:46 . 2009-07-29 01:01	2722	----a-w-	c:\blallaa\Update-CF.cmd
2009-08-26 16:46 . 2000-08-31 06:00	241	----a-w-	c:\blallaa\Rkey.cmd
2009-08-26 16:46 . 2009-08-26 02:16	13849	----a-w-	c:\blallaa\NT-OS.cmd
2009-08-26 16:46 . 2009-08-16 03:43	62045	----a-w-	c:\blallaa\RegScan.cmd
2009-08-26 16:46 . 2009-08-12 01:40	3406	----a-w-	c:\blallaa\CregC.cmd
2009-08-26 16:46 . 2009-05-25 08:08	1688	----a-w-	c:\blallaa\CSet.cmd
2009-08-26 16:46 . 2009-08-24 17:21	3319	----a-w-	c:\blallaa\FD-SV.cmd
2009-08-26 16:46 . 2009-05-25 08:05	1095	----a-w-	c:\blallaa\FKMGen.cmd
2009-08-26 16:46 . 2009-08-12 01:43	5412	----a-w-	c:\blallaa\GetHive.cmd
2009-08-26 16:46 . 2009-08-12 01:44	5645	----a-w-	c:\blallaa\Install-RC.cmd
2009-08-26 16:46 . 2009-08-01 02:17	761	----a-w-	c:\blallaa\katch.cmd
2009-08-26 16:46 . 2009-07-13 05:31	1588	----a-w-	c:\blallaa\Kill-All.cmd
2009-08-26 16:46 . 2009-06-14 00:08	1896	----a-w-	c:\blallaa\Boot-Rk.cmd
2009-08-26 16:46 . 2009-08-10 00:22	736	----a-w-	c:\blallaa\Catch-sub.cmd
2009-08-26 16:46 . 2009-08-12 01:37	25513	----a-w-	c:\blallaa\CF-Script.cmd
2009-08-26 16:46 . 2009-08-25 01:17	6723	----a-w-	c:\blallaa\Create.cmd
2009-08-26 16:46 . 2009-07-29 00:34	3282	----a-w-	c:\blallaa\Assoc.cmd
2009-08-26 16:46 . 2009-07-29 00:46	3034	----a-w-	c:\blallaa\Auto-RC.cmd
2009-08-26 16:46 . 2009-08-23 22:11	1369	----a-w-	c:\blallaa\av.cmd
2009-08-26 16:46 . 2009-04-29 14:41	629	----a-w-	c:\blallaa\AWF.cmd
2009-08-26 16:46 . 2009-08-26 12:55	14644	----a-w-	c:\blallaa\SetEnvmt.bat
2009-08-26 16:46 . 2009-08-12 01:47	2367	----a-w-	c:\blallaa\MoveIt.bat
2009-08-26 16:46 . 2009-08-24 22:30	27438	----a-w-	c:\blallaa\ND_.bat
2009-08-26 16:46 . 2009-08-26 13:35	613574	----a-w-	c:\blallaa\List.bat
2009-08-26 16:46 . 2009-08-03 16:28	92837	----a-w-	c:\blallaa\List-D.bat
2009-08-26 16:46 . 2009-08-26 19:30	229538	----a-w-	c:\blallaa\List-C.bat
2009-08-26 16:46 . 2009-08-26 14:28	38805	----a-w-	c:\blallaa\List-B.bat
2009-08-26 16:46 . 2009-07-20 07:21	4668	----a-w-	c:\blallaa\FIXLSP.bat
2009-08-26 16:46 . 2009-08-12 01:43	908	----a-w-	c:\blallaa\history.bat
2009-08-26 16:46 . 2009-08-12 01:44	3453	----a-w-	c:\blallaa\Kollect.bat
2009-08-26 16:46 . 2009-08-01 00:09	192718	----a-w-	c:\blallaa\Lang.bat
2009-08-26 16:46 . 2009-08-25 01:17	7590	----a-w-	c:\blallaa\Combobatch.bat
2009-08-26 16:46 . 2009-08-21 16:26	1644	----a-w-	c:\blallaa\DelClsid.bat
2009-08-26 16:46 . 2009-08-12 09:23	28204	----a-w-	c:\blallaa\FIND3M.bat
2009-08-26 16:46 . 2009-08-12 01:42	7774	----a-w-	c:\blallaa\Boot.bat
2009-08-26 16:46 . 2009-08-26 19:29	48484	----a-w-	c:\blallaa\c.bat
2006-06-10 12:42 . 2006-06-10 12:42	49152	----a-w-	c:\blallaa\SF.exe
2006-03-02 21:42 . 2006-03-02 21:42	73728	----a-r-	c:\blallaa\PV.cfxxe

birki86 · 29.08.2009, 12:46

und die Fortsetzung...

Code:

ATTFilter

(((((((((((((((((((((((((((((((((((((((   System Restore   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

29.07.2009 02:34 3282 c:\cofi\Assoc.cmd
29.07.2009 02:34 3282 \RP187\A0045175.cmd
29.07.2009 02:34 3282 \RP193\A0047260.cmd

c:\cofi\Auto-RC.cmd
29.07.2009 02:46 3034 \RP192\A0046943.cmd
29.07.2009 02:46 3034 \RP194\A0047353.cmd

24.08.2009 00:11 1369 c:\cofi\av.cmd
24.08.2009 00:11 1369 \RP187\A0045176.cmd
24.08.2009 00:11 1369 \RP193\A0047261.cmd

13.05.2009 18:09 1464 c:\cofi\av.vbs
13.05.2009 18:09 1464 \RP187\A0045177.vbs
13.05.2009 18:09 1464 \RP193\A0047262.vbs

c:\cofi\AWF.cmd
29.04.2009 16:41 629 \RP187\A0045170.cmd
29.04.2009 16:41 629 \RP194\A0047510.cmd

14.06.2009 02:08 1896 c:\cofi\Boot-Rk.cmd
14.06.2009 02:08 1896 \RP187\A0045178.cmd
14.06.2009 02:08 1896 \RP193\A0047263.cmd

12.08.2009 03:42 7774 c:\cofi\Boot.bat
12.08.2009 03:42 7774 \RP187\A0045179.bat
12.08.2009 03:42 7774 \RP193\A0047264.bat

31.08.2000 08:00 7680 c:\cofi\BootSect.dll
31.08.2000 08:00 7680 \RP187\A0045180.dll
31.08.2000 08:00 7680 \RP193\A0047265.dll

c:\cofi\c.bat
26.08.2009 21:29 48484 \RP187\A0045160.bat
29.08.2009 15:37 48923 \RP194\A0047444.bat

10.08.2009 02:22 736 c:\cofi\Catch-sub.cmd
10.08.2009 02:22 736 \RP187\A0045181.cmd
10.08.2009 02:22 736 \RP193\A0047266.cmd

29.08.2009 13:33 91 c:\cofi\CCS.bat
26.08.2009 19:07 91 \RP186\A0045124.bat
29.08.2009 13:27 91 \RP194\A0047442.bat

c:\cofi\CF-Script.cmd
12.08.2009 03:37 25513 \RP187\A0045142.cmd
12.08.2009 03:37 25513 \RP194\A0047358.cmd

c:\cofi\CF10413.exe
29.08.2009 11:40 401920 \RP193\A0047267.exe

c:\cofi\CF5319.exe
26.08.2009 19:07 401920 \RP187\A0045182.exe

c:\cofi\CF5834.exe
29.08.2009 11:16 401920 \RP193\A0047116.exe

29.08.2009 13:27 16 c:\cofi\CHCP.bat
26.08.2009 19:07 16 \RP187\A0045183.bat
29.08.2009 11:40 16 \RP193\A0047268.bat

31.08.2000 08:00 1024 \RP187\A0045184.sys
31.08.2000 08:00 1024 \RP193\A0047269.sys

c:\cofi\Combobatch.bat
26.08.2009 19:11 7645 \RP187\A0045159.bat
29.08.2009 13:30 7705 \RP194\A0047443.bat

c:\cofi\Create.cmd
25.08.2009 03:17 6723 \RP187\A0045167.cmd
25.08.2009 03:17 6723 \RP194\A0047447.cmd

12.08.2009 03:40 3406 c:\cofi\CregC.cmd
12.08.2009 03:40 3406 \RP187\A0045185.cmd
12.08.2009 03:40 3406 \RP193\A0047270.cmd

25.05.2009 10:08 1688 c:\cofi\CSet.cmd
25.05.2009 10:08 1688 \RP187\A0045186.cmd
25.05.2009 10:08 1688 \RP193\A0047271.cmd

21.08.2009 18:26 1644 c:\cofi\DelClsid.bat
21.08.2009 18:26 1644 \RP187\A0045188.bat
21.08.2009 18:26 1644 \RP193\A0047273.bat

12.08.2009 03:53 13693 c:\cofi\Exe.reg
12.08.2009 03:53 13693 \RP187\A0045189.reg
12.08.2009 03:53 13693 \RP193\A0047274.reg

c:\cofi\FD-SV.cmd
24.08.2009 19:21 3319 \RP187\A0045168.cmd
29.08.2009 04:21 3067 \RP194\A0047508.cmd

31.08.2000 08:00 36201 c:\cofi\ffdefstr.dll
31.08.2000 08:00 36201 \RP187\A0045190.dll
31.08.2000 08:00 36201 \RP193\A0047275.dll

29.08.2009 15:40 2210 c:\cofi\files.pif
26.08.2009 21:33 2210 \RP187\A0045191.pif
29.08.2009 15:40 2210 \RP193\A0047276.pif

28.08.2009 11:43 28604 c:\cofi\FIND3M.bat
12.08.2009 11:23 28204 \RP187\A0045192.bat
28.08.2009 11:43 28604 \RP193\A0047277.bat

20.07.2009 09:21 4668 c:\cofi\FIXLSP.bat
20.07.2009 09:21 4668 \RP187\A0045193.bat
20.07.2009 09:21 4668 \RP193\A0047278.bat

25.05.2009 10:05 1095 c:\cofi\FKMGen.cmd
25.05.2009 10:05 1095 \RP187\A0045194.cmd
25.05.2009 10:05 1095 \RP193\A0047279.cmd

15.02.2001 15:03 10240 c:\cofi\ForceLibrary.dll
15.02.2001 15:03 10240 \RP187\A0045195.dll
15.02.2001 15:03 10240 \RP193\A0047280.dll

12.08.2009 03:43 5412 c:\cofi\GetHive.cmd
12.08.2009 03:43 5412 \RP187\A0045174.cmd
12.08.2009 03:43 5412 \RP193\A0047257.cmd

16.08.2005 01:54 1536 c:\cofi\hidec.exe
16.08.2005 01:54 1536 \RP187\A0045196.exe
16.08.2005 01:54 1536 \RP193\A0047281.exe

12.08.2009 03:43 908 c:\cofi\history.bat
12.08.2009 03:43 908 \RP187\A0045197.bat
12.08.2009 03:43 908 \RP193\A0047282.bat

20.04.2009 12:56 31232 c:\cofi\iexplore.exe
20.04.2009 12:56 31232 \RP187\A0045198.exe
20.04.2009 12:56 31232 \RP193\A0047283.exe

c:\cofi\Install-RC.cmd
12.08.2009 03:44 5645 \RP192\A0046972.cmd
12.08.2009 03:44 5645 \RP194\A0047354.cmd

01.08.2009 04:17 761 c:\cofi\katch.cmd
01.08.2009 04:17 761 \RP187\A0045199.cmd
01.08.2009 04:17 761 \RP193\A0047284.cmd

c:\cofi\Kill-All.cmd
13.07.2009 07:31 1588 \RP187\A0045143.cmd
13.07.2009 07:31 1588 \RP194\A0047359.cmd

12.08.2009 03:44 3453 c:\cofi\Kollect.bat
12.08.2009 03:44 3453 \RP187\A0045200.bat
12.08.2009 03:44 3453 \RP193\A0047285.bat

29.08.2009 13:30 192976 c:\cofi\Lang.bat
26.08.2009 19:11 192976 \RP187\A0045201.bat
01.08.2009 02:09 192718 \RP194\A0047428.bat

c:\cofi\List-B.bat
26.08.2009 16:28 38805 \RP187\A0045146.bat
29.08.2009 02:40 39096 \RP194\A0047361.bat

c:\cofi\List-C.bat
26.08.2009 21:30 229538 \RP187\A0045157.bat
29.08.2009 15:37 230625 \RP194\A0047426.bat

c:\cofi\List-D.bat
03.08.2009 18:28 92837 \RP192\A0046979.bat
03.08.2009 18:28 92837 \RP194\A0047356.bat

c:\cofi\List.bat
26.08.2009 15:35 613574 \RP192\A0046980.bat
29.08.2009 12:39 618166 \RP194\A0047357.bat

31.08.2000 08:00 2428 c:\cofi\lnkread.vbs
31.08.2000 08:00 2428 \RP187\A0045202.vbs
31.08.2000 08:00 2428 \RP193\A0047287.vbs

29.08.2009 13:27 5066 c:\cofi\md5sum.pif
26.08.2009 19:10 5066 \RP187\A0045203.pif
29.08.2009 15:40 4794 \RP194\A0047355.pif

12.08.2009 03:47 2367 c:\cofi\MoveIt.bat
12.08.2009 03:47 2367 \RP187\A0045204.bat
12.08.2009 03:47 2367 \RP193\A0047289.bat

20.04.2009 12:56 31232 c:\cofi\n.pif
20.04.2009 12:56 31232 \RP187\A0045205.pif
20.04.2009 12:56 31232 \RP193\A0047290.pif

28.08.2009 21:38 27623 c:\cofi\ND_.bat
25.08.2009 00:30 27438 \RP187\A0045206.bat
28.08.2009 21:38 27623 \RP193\A0047291.bat

20.04.2009 12:56 31232 c:\cofi\NircmdB.exe
20.04.2009 12:56 31232 \RP187\A0045207.exe
20.04.2009 12:56 31232 \RP193\A0047292.exe

26.08.2009 04:16 13849 c:\cofi\NT-OS.cmd
26.08.2009 04:16 13849 \RP187\A0045208.cmd
26.08.2009 04:16 13849 \RP193\A0047293.cmd

31.08.2000 08:00 977 c:\cofi\OSid.vbs
31.08.2000 08:00 977 \RP187\A0045209.vbs
31.08.2000 08:00 977 \RP193\A0047294.vbs

23.08.2009 03:09 229376 c:\cofi\pev.exe
23.08.2009 03:09 229376 \RP187\A0045210.exe
23.08.2009 03:09 229376 \RP193\A0047295.exe

02.03.2006 23:42 73728 c:\cofi\pv.com
02.03.2006 23:42 73728 \RP187\A0045212.com
02.03.2006 23:42 73728 \RP193\A0047297.com

28.08.2009 13:21 62053 c:\cofi\RegScan.cmd
16.08.2009 05:43 62045 \RP187\A0045172.cmd
28.08.2009 13:21 62053 \RP193\A0047255.cmd

c:\cofi\restore_pt.vbs
01.05.2009 22:26 587 \RP187\A0045144.vbs
01.05.2009 22:26 587 \RP194\A0047360.vbs

31.08.2000 08:00 241 c:\cofi\Rkey.cmd
31.08.2000 08:00 241 \RP187\A0045213.cmd
31.08.2000 08:00 241 \RP193\A0047298.cmd

26.08.2009 22:00 14697 c:\cofi\SetEnvmt.bat
26.08.2009 14:55 14644 \RP187\A0045214.bat
26.08.2009 22:00 14697 \RP193\A0047299.bat

29.08.2009 13:30 6707 c:\cofi\SetPath.bat
26.08.2009 19:10 6198 \RP187\A0045141.bat
29.08.2009 11:43 6707 \RP193\A0047300.bat

10.06.2006 14:42 49152 c:\cofi\SF.exe
10.06.2006 14:42 49152 \RP187\A0045215.exe
10.06.2006 14:42 49152 \RP193\A0047301.exe

29.08.2009 13:27 74 c:\cofi\sfx.cmd
26.08.2009 19:07 14 \RP187\A0045216.cmd
29.08.2009 11:40 74 \RP193\A0047302.cmd

c:\cofi\SnapShot.cmd
16.08.2009 13:39 3351 \RP187\A0045169.cmd
16.08.2009 13:39 3351 \RP194\A0047509.cmd

12.08.2009 03:49 2135 c:\cofi\SRestore.cmd
12.08.2009 03:49 2135 \RP187\A0045171.cmd
12.08.2009 03:49 2135 \RP193\A0047254.cmd

28.07.2009 01:06 19200 c:\cofi\SuppScan.cmd
28.07.2009 01:06 19200 \RP187\A0045173.cmd
28.07.2009 01:06 19200 \RP193\A0047256.cmd

31.08.2000 08:00 2176 c:\cofi\SvcDrv.vbs
31.08.2000 08:00 2176 \RP187\A0045217.vbs
31.08.2000 08:00 2176 \RP193\A0047303.vbs

c:\cofi\Update-CF.cmd
29.07.2009 03:01 2722 \RP192\A0047003.cmd
29.07.2009 03:01 2722 \RP194\A0047336.cmd

c:\cofi\w_sock.dll
21.06.2009 14:45 98948 \RP187\A0045158.dll
21.06.2009 14:45 98948 \RP194\A0047427.dll

c:\cofi\w2k_sock.dll
21.06.2009 15:34 90202 \RP192\A0047004.dll
21.06.2009 15:34 90202 \RP194\A0047337.dll

c:\cofi\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
26.08.2009 19:09 4626152 \RP187\A0045220.exe

14.05.2009 01:08 592 c:\cofi\Wmi_rem.vbs
14.05.2009 01:08 592 \RP187\A0045221.vbs
14.05.2009 01:08 592 \RP193\A0047306.vbs

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll
20.10.2008 08:38 126721 \RP175\A0041844.dll

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll
10.06.2009 10:26 345345 \RP175\A0041845.dll

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe
06.08.2009 11:03 404737 \RP175\A0041846.exe

C:\Dokument
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"VMware NAT Service"=2 (0x2)
"VMnetDHCP"=2 (0x2)
"VMAuthdService"=2 (0x2)
"ufad-ws60"=3 (0x3)
"ScriptHostService110"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"NVSvc"=2 (0x2)
"JobManagerService110"=2 (0x2)
"FLEXnet Licensing Service"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"ANSYS FLEXlm license manager"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JobManagerService.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMAdmin.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMPassword.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\ScriptHostService.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CommonFiles\\intel\\AnsysWBU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\ANSYS\\bin\\intel\\ANSYS.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ActivePIMgrU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ReaderHostU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\tclsh.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\wish.exe"=
"d:\\Spiele\\Valve\\Steam\\SteamApps\\"username"\\codename gordon\\cg.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12.12.2003 17:49 77312]
R2 PEDRV;P&E Microcomputer System PCI Driver.;c:\windows\system32\drivers\pedrv.sys [03.08.2000 15:25 23296]
R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [23.09.2008 14:34 22688]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:08 54960]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [12.05.2009 21:19 89600]
S2 uDART01;SofTec Microsystems USB Driver;c:\windows\system32\drivers\sftdrv01.sys [26.09.2005 11:44 133708]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [10.01.2009 18:44 8704]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [10.01.2009 18:44 3072]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.11.2008 19:59 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.11.2008 19:59 8320]
S4 ANSYS FLEXlm license manager;ANSYS FLEXlm license manager;c:\progra~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe [10.10.2008 16:12 1294336]
S4 JobManagerService100;Ansys JobManager Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\JobManagerService.exe [16.01.2007 15:20 20480]
S4 ScriptHostService100;Ansys ScriptHost Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\ScriptHostService.exe [16.01.2007 15:20 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - d:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: d:\programme\VMware\VMware Workstation\vsocklib.dll
TCP: {DA02D8D1-1815-4F52-9970-696749BA4ABD} = 192.168.0.99
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-29 13:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(972)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2200)
d:\programme\Logitech\iTouch\iTchHk.dll
c:\windows\system32\ieframe.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
d:\programme\Nokia\Nokia PC Suite 6\phonebrowser.dll
d:\programme\Nokia\Nokia PC Suite 6\NGSCM.DLL
d:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
d:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-29 13:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-29 11:38
ComboFix2.txt  2009-08-29 09:50
ComboFix3.txt  2009-08-29 09:25
ComboFix4.txt  2009-08-26 17:22

Vor Suchlauf: 14 Verzeichnis(se), 20.702.388.224 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 20.653.842.432 Bytes frei

661	--- E O F ---	2009-08-16 21:08

john.doe · 29.08.2009, 13:01

Das sieht jetzt schon viel freundlicher aus.

Hat Prevx etwas gefunden?

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

birki86 · 29.08.2009, 17:07

So, jetzt hab ich bald alle Virenscanner durch

Hier der Log von Panda:

Code:

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-29 17:55:49
PROTECTIONS: 0
MALWARE: 10
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@atdmt[2].txt
02457190  Trj/Alureon.BB                     Virus/Trojan        No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045114.dll
02457190  Trj/Alureon.BB                     Virus/Trojan        No        0         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\UACsvgoovlbnj.dll.vir
02537438  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACowrqdeqrnt.sys.vir
02537438  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045112.sys
02587846  Adware/SystemGuard2009             Adware              No        0         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\UACajmneoekrs.dll.vir
02587846  Adware/SystemGuard2009             Adware              No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045116.dll
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045117.sys
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP193\A0047180.sys
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP194\A0047437.sys
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\UACsytuufxrfp.dll.vir
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045115.dll
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\System Volume Information\_restore{4D660C84-F79A-4B17-B427-46DF486B227C}\RP186\A0045113.dll
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Qoobox\Quarantine\C\WINDOWS\system32\UACgxurxsaowt.dll.vir
03587590  Adware/Yassist                     Adware              No        0         No             No           F:\Downloads\Programme\DivXInstaller.exe[²ÇÇ\y_toolbar.exe][²èÇ]
03738741  Generic Malware                    Virus/Trojan        No        0         Yes            No           D:\Programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe
03738741  Generic Malware                    Virus/Trojan        No        0         Yes            No           D:\Programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe
03899063  Generic Malware                    Virus/Trojan        No        0         No             No           F:\Downloads\ALPluginIE-1.0.2.3-setup.exe[F:\Downloads\ALPluginIE-1.0.2.3-setup.exe][iesetup2.exe]
03899073  Generic Malware                    Virus/Trojan        No        0         No             No           F:\Downloads\ALPluginIE-1.0.2.3-setup.exe[F:\Downloads\ALPluginIE-1.0.2.3-setup.exe][alie.dll]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\Programme\Everest Poker\Everest Poker.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             
No        F:\Downloads\Programme\alatk.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
;===================================================================================================================================================================================

john.doe · 29.08.2009, 17:18

Zitat:

Hat Prevx etwas gefunden?

1.) Lade die Datei

Zitat:

F:\Downloads\Programme\alatk.exe

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

2.) Scripten mit Combofix

Öffne den Editor (Start => (Alle) Programme => Zubehör => Editor) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

File::
F:\Downloads\Programme\DivXInstaller.exe
D:\Programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe
D:\Programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe
F:\Downloads\ALPluginIE-1.0.2.3-setup.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Start => Ausführen => combofix /u => OK

4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

5.) Poste ein aktuelles HJT-Log.

ciao, andreas

birki86 · 29.08.2009, 18:02

Sorry. Das mit Prevx hab ich überlesen. Prevx hat aber auch nichts gefunden.

Hier nochmal der CombofixLog:

Code:

ATTFilter

ComboFix 09-08-28.06 - "username" 29.08.2009 18:42.5.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.636 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\"username"\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\"username"\Desktop\cfscript.txt

FILE ::
"d:\programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe"
"d:\programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe"
"f:\downloads\ALPluginIE-1.0.2.3-setup.exe"
"f:\downloads\Programme\DivXInstaller.exe"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\"username"\LOKALE~1\Temp\catchme.dll
c:\dokumente und einstellungen\"username"\Lokale Einstellungen\temp\catchme.dll
d:\programme\Cryptload\ocr\netload.in\asmCaptcha\test.exe
d:\programme\Cryptload\ocr\rapidshare.com\asmCaptcha\test.exe
f:\downloads\ALPluginIE-1.0.2.3-setup.exe
f:\downloads\Programme\DivXInstaller.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-07-28 bis 2009-08-29  ))))))))))))))))))))))))))))))
.

2009-08-29 16:37 . 2009-08-29 16:37	--------	d-s---w-	C:\cofi
2009-08-29 16:31 . 2009-08-29 16:31	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2009-08-29 12:04 . 2008-06-19 15:24	28544	----a-w-	c:\windows\system32\drivers\pavboot.sys
2009-08-29 12:04 . 2009-08-29 12:04	--------	d-----w-	c:\programme\Panda Security
2009-08-26 18:55 . 2009-08-26 19:03	152576	----a-w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-26 18:53 . 2009-08-26 18:53	--------	d-sh--w-	c:\dokumente und einstellungen\"username"\PrivacIE
2009-08-26 18:52 . 2009-08-26 18:52	--------	d-sh--w-	c:\dokumente und einstellungen\"username"\IETldCache
2009-08-26 18:49 . 2009-08-26 18:49	--------	dc-h--w-	c:\windows\ie8
2009-08-26 16:48 . 2009-08-26 16:48	--------	d-s---w-	C:\blallaa
2009-08-23 12:07 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-23 12:07 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-03 13:53 . 2009-08-22 16:17	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-08-03 13:53 . 2008-10-28 15:03	55856	----a-r-	c:\windows\system32\vnetinst.dll
2009-08-03 13:53 . 2008-10-28 15:03	16560	----a-r-	c:\windows\system32\drivers\vmnetadapter.sys
2009-08-03 13:53 . 2008-10-28 21:08	26288	----a-w-	c:\windows\system32\drivers\vmnetuserif.sys
2009-08-03 13:53 . 2008-10-28 21:08	326192	----a-w-	c:\windows\system32\vmnetdhcp.exe
2009-08-03 13:53 . 2008-10-28 21:07	399920	----a-w-	c:\windows\system32\vmnat.exe
2009-08-03 13:53 . 2008-10-28 15:03	50736	----a-r-	c:\windows\system32\vmnetbridge.dll
2009-08-03 13:53 . 2008-10-28 15:03	31280	----a-r-	c:\windows\system32\drivers\vmnetbridge.sys
2009-08-03 13:53 . 2008-10-28 15:03	18736	----a-r-	c:\windows\system32\drivers\vmnet.sys
2009-08-03 13:53 . 2008-10-28 21:08	723504	----a-w-	c:\windows\system32\vnetlib.dll
2009-08-03 13:53 . 2008-10-28 21:08	23216	----a-w-	c:\windows\system32\drivers\VMkbd.sys
2009-08-03 13:51 . 2009-08-22 16:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-08-03 13:50 . 2009-08-03 13:50	--------	d-----w-	c:\programme\VMware

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 11:30 . 2008-08-18 18:24	--------	d-----w-	c:\programme\Google
2009-08-26 18:56 . 2009-03-29 12:39	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-08-26 18:41 . 2008-08-13 08:37	--------	d-----w-	c:\programme\Java
2009-08-23 12:08 . 2009-01-04 09:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-17 16:10 . 2009-08-03 13:58	--------	d-----w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\VMware
2009-08-12 18:34 . 2008-08-09 11:37	--------	d-----w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\ICQ
2009-08-11 17:39 . 2008-10-09 15:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-08-06 09:03 . 2009-03-28 17:09	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2006-02-28 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 21:46 . 2008-08-05 07:41	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-07-25 21:43 . 2009-07-25 21:43	22328	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-07-25 21:43 . 2009-07-25 21:43	22328	----a-w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys
2009-07-25 21:43 . 2009-07-25 21:43	22328	----a-w-	c:\dokumente und einstellungen\"username"\Anwendungsdaten\PnkBstrK.sys
2009-07-25 21:43 . 2009-07-25 21:43	103736	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-07-25 21:43 . 2009-07-25 21:43	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-07-17 19:01 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-02-28 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-16 14:36 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 12:00	82944	----a-w-	c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-08-04 18:01	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-02-28 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
.

(((((((((((((((((((((((((((((   SnapShot_2009-08-29_09.23.32   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-17 06:59 . 2009-04-17 06:59	128256              c:\windows\Downloaded Program Files\as2stubie.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"VMware NAT Service"=2 (0x2)
"VMnetDHCP"=2 (0x2)
"VMAuthdService"=2 (0x2)
"ufad-ws60"=3 (0x3)
"ScriptHostService110"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"NVSvc"=2 (0x2)
"JobManagerService110"=2 (0x2)
"FLEXnet Licensing Service"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"ANSYS FLEXlm license manager"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JobManagerService.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMAdmin.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\JMPassword.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\RSM\\bin\\ScriptHostService.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CommonFiles\\intel\\AnsysWBU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\ANSYS\\bin\\intel\\ANSYS.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ActivePIMgrU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\AISOL\\CAD Integration\\intel\\ReaderHostU.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\tclsh.exe"=
"d:\\Programme\\ANSYS Inc\\v100\\CommonFiles\\TCL\\bin\\intel\\wish.exe"=
"d:\\Spiele\\Valve\\Steam\\SteamApps\\"username"\\codename gordon\\cg.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [29.08.2009 14:04 28544]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12.12.2003 17:49 77312]
R2 PEDRV;P&E Microcomputer System PCI Driver.;c:\windows\system32\drivers\pedrv.sys [03.08.2000 15:25 23296]
R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [23.09.2008 14:34 22688]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [28.10.2008 23:08 54960]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [12.05.2009 21:19 89600]
S2 uDART01;SofTec Microsystems USB Driver;c:\windows\system32\drivers\sftdrv01.sys [26.09.2005 11:44 133708]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [10.01.2009 18:44 8704]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [10.01.2009 18:44 3072]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [12.11.2008 19:59 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [12.11.2008 19:59 8320]
S4 ANSYS FLEXlm license manager;ANSYS FLEXlm license manager;c:\progra~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe [10.10.2008 16:12 1294336]
S4 JobManagerService100;Ansys JobManager Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\JobManagerService.exe [16.01.2007 15:20 20480]
S4 ScriptHostService100;Ansys ScriptHost Service V10;d:\programme\ANSYS Inc\v100\RSM\bin\ScriptHostService.exe [16.01.2007 15:20 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-29 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-18 19:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - d:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: d:\programme\VMware\VMware Workstation\vsocklib.dll
TCP: {DA02D8D1-1815-4F52-9970-696749BA4ABD} = 192.168.0.99
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-29 18:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(972)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2976)
d:\programme\Logitech\iTouch\iTchHk.dll
c:\windows\system32\ieframe.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
d:\programme\Nokia\Nokia PC Suite 6\phonebrowser.dll
d:\programme\Nokia\Nokia PC Suite 6\NGSCM.DLL
d:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
d:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-29 18:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-29 16:53
ComboFix2.txt  2009-08-29 11:38
ComboFix3.txt  2009-08-29 09:50
ComboFix4.txt  2009-08-29 09:25
ComboFix5.txt  2009-08-29 16:37

Vor Suchlauf: 13 Verzeichnis(se), 20.561.797.120 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 20.493.848.576 Bytes frei

216	--- E O F ---	2009-08-16 21:08

und HJT Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:13, on 29.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA02D8D1-1815-4F52-9970-696749BA4ABD}: NameServer = 192.168.0.99
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 6032 bytes

john.doe · 29.08.2009, 18:14

Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen?

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O2, O3, O8, O9 und O16-Einträge
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

=> Fix checked

ciao, andreas

birki86 · 29.08.2009, 18:18

Also mein Rechner verhält sich unauffällig. Ich denke deine Tipps haben geholfen. Vielen, vielen Dank.
Super Support hier im Forum.

MfG

john.doe · 29.08.2009, 18:21

Du bist entlassen.

ciao, andreas

Trojaner!? Problem mit Googleinstaller!

Plagegeister aller Art und deren Bekämpfung: Trojaner!? Problem mit Googleinstaller!