Virenbefall Opera 9

pontius · 26.09.2009, 16:12

Hi,
habe mir was eingefangen, ich gehe davon aus, dass es ein infiziertes .rar Archiv war. Antivir hat Angeschlagen. Hab dann Antivir durchlaufen lassen:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 14. September 2009 16:02

Es wird nach 1706803 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: P-713B0CF37B2D4

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 16:44:50
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 16:05:19
ANTIVIR3.VDF : 7.1.5.236 347136 Bytes 11.09.2009 16:04:17
Engineversion : 8.2.1.14
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 12:02:19
AESCRIPT.DLL : 8.1.2.31 475513 Bytes 10.09.2009 16:04:18
AESCN.DLL : 8.1.2.5 127346 Bytes 06.09.2009 16:05:30
AERDL.DLL : 8.1.2.4 430452 Bytes 16.07.2009 16:05:30
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 15:00:39
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 20:30:51
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 23.08.2009 22:21:35
AEHELP.DLL : 8.1.7.0 237940 Bytes 06.09.2009 16:05:28
AEGEN.DLL : 8.1.1.62 364916 Bytes 10.09.2009 16:04:17
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.7.8 184692 Bytes 06.09.2009 16:05:22
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 17:31:06
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 14. September 2009 16:02

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnetdhcp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-authd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\AA283FullInstaller.exe
[0] Archivtyp: RAR SFX (self extracting)
--> AAComp~1.cab
[1] Archivtyp: CAB (Microsoft)
--> M_AA2_WeaponsCache.usx.fz
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\Democracy.2.v1.21.RIP-Unleashed.rar
[0] Archivtyp: RAR
--> Democracy.2.v1.21.RIP-Unleashed\Democracy.2.v1.21.RIP-Unleashed\UNLEASHED\unl-d221\Unleashed.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b1b5126.qua' verschoben!
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\zonealarm8en.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\sprache\other swed\PSWC.part2.rar
[0] Archivtyp: RAR
--> Swedish 07.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\RSD0.5Prev_T4.3.rar
[0] Archivtyp: RAR
--> RSD0.5Prev T4.3\Plugins\YCPlugins\lix.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.BHU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af2532c.qua' verschoben!
C:\RECYCLER\S-1-5-21-1078081533-57989841-682003330-1004\Dc4168.rar
[0] Archivtyp: RAR
--> 1998 - Supposed Former Infatuation Junkie\14. So Pure.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [87]: Falscher Parameter.
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'H:\' <Filme>

Ende des Suchlaufs: Montag, 14. September 2009 17:12
Benötigte Zeit: 1:09:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

22290 Verzeichnisse wurden überprüft
474122 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
474118 Dateien ohne Befall
11024 Archive wurden durchsucht
6 Warnungen
2 Hinweise

Die HijackThis online Auswertung meint, es ist alles in Ordnung.

Ccleaner hab ich durchlaufen und aufräumen lassen.

Die bei uech verlinkte Setup Datei von Malwarebytes-Anti-Malware lässt sich nicht ausführen (keine Reaktion bei Doppelklick).
Die von der Hersteller Seite lässt sich installieren, aber das Programm lässt sich auch nicht ausführen.

Noch ein bisschen, was der/die VirEN so treiben:

Also Opera (9) hat mich bei Google Ergebnissen manchmal auf Werbeseiten umgeleitet.
Dann ist Opera abgestürzt, wenn ich jetzt die exe ausführe, lande ich im IE Explorer

Firefox strüzt abundzu ab.

Gleich nach dem Befall wollte ein Programm Verbindung mit dem Internet aufbauen, ich habs mit Ashampoo geblockt, finde es dort aber nicht mehr, auch im Protokoll stehen leider nur Dinger von heute.

Bitte helft mir, Herauszufinden, was das ist und wie es wieder weggeht ohne mein System neuaufzusetzen.

Danke im Vorraus.

Gruss und eine fröhliche Wiesn

pontius · 26.09.2009, 16:13

Hier noch was RSIT sagt:

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pontius at 2009-09-26 16:51:13
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 22 GB (9%) free of 250 GB
Total RAM: 2046 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:13, on 26.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Pontius\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Pontius.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 5665 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-07-05 16380416]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe [2007-03-20 36864]
"36X Raid Configurer"=C:\WINDOWS\system32\xRaidSetup.exe [2007-05-25 1953792]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"Ashampoo FireWall"=C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe [2007-04-05 3251800]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-12-01 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Miranda IM\miranda32.exe"="C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM"
"C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe"="C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\Programme\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe"="C:\Programme\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Programme\Rockstar Games\Grand Theft Auto IV\GTAIV.exe"="C:\Programme\Rockstar Games\Grand Theft Auto IV\GTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\America's Army\System\ArmyOps.exe"="C:\Programme\America's Army\System\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood"
"C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: "
"C:\ijji\ENGLISH\u_skid.exe"="C:\ijji\ENGLISH\u_skid.exe:*:Enabled:<ijji Downloader>"
"C:\Programme\DriftCity\DriftCity.exe"="C:\Programme\DriftCity\DriftCity.exe:*:Enabled

riftCity"
"C:\Programme\VideoLAN\VLC\vlc.exe"="C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\Programme\VMware\VMware Workstation\vmware-authd.exe"="C:\Programme\VMware\VMware Workstation\vmware-authd.exe:*:Enabled:VMware Authd"
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:AVM FRITZ!DSL - igdctrl.exe"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!DSL - fboxupd.exe"
"C:\Programme\FRITZ!DSL\WebwaIgd.exe"="C:\Programme\FRITZ!DSL\WebwaIgd.exe:*:Enabled:AVM FRITZ!DSL - webwaigd.exe"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*

isabled:Microsoft DirectPlay Voice Test"
"C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe"="C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe"="C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\Programme\America's Army Deploy Client\AADeployClient.exe"="C:\Programme\America's Army Deploy Client\AADeployClient.exe:*:Enabled:AADeployClient"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Programme\Steam\steamapps\common\america's army 3\Binaries\AA3Game.exe"="C:\Programme\Steam\steamapps\common\america's army 3\Binaries\AA3Game.exe:*:Enabled:America's Army 3"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-09-26 16:49:56 ----D---- C:\rsit
2009-09-26 16:39:20 ----D---- C:\Programme\CCleaner
2009-09-08 15:01:38 ----D---- C:\Programme\Airline Tycoon - Deluxe
2009-09-08 13:36:27 ----D---- C:\Programme\Monte Cristo
2009-08-30 12:22:19 ----A---- C:\Dokumente und Einstellungen\Pontius\Anwendungsdaten\AutoGK.ini
2009-08-30 12:17:07 ----D---- C:\Programme\XviD
2009-08-30 12:15:53 ----D---- C:\Programme\Gabest
2009-08-30 12:15:29 ----D---- C:\Programme\AutoGK
2009-08-29 11:18:26 ----D---- C:\Programme\PC TechZone

======List of files/folders modified in the last 1 months======

2009-09-26 16:50:38 ----D---- C:\Programme\Mozilla Firefox
2009-09-26 16:42:13 ----D---- C:\WINDOWS\Minidump
2009-09-26 16:42:13 ----D---- C:\WINDOWS\Debug
2009-09-26 16:42:13 ----D---- C:\WINDOWS
2009-09-26 16:42:12 ----D---- C:\WINDOWS\Temp
2009-09-26 16:39:20 ----D---- C:\Programme
2009-09-26 16:32:20 ----D---- C:\Programme\Mozilla Thunderbird
2009-09-26 16:24:53 ----D---- C:\WINDOWS\system32
2009-09-23 18:05:00 ----D---- C:\WINDOWS\Prefetch
2009-09-23 17:58:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2009-09-23 17:58:30 ----D---- C:\Programme\Steam
2009-09-20 20:35:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AA3DeployClient
2009-09-18 08:49:03 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-09-14 16:00:53 ----D---- C:\WINDOWS\system32\drivers
2009-09-10 20:33:05 ----SHD---- C:\WINDOWS\Installer
2009-09-10 20:33:02 ----D---- C:\Programme\Opera 10 Beta
2009-09-09 16:06:19 ----D---- C:\Dokumente und Einstellungen\Pontius\Anwendungsdaten\dvdcss
2009-09-08 13:36:27 ----HD---- C:\Programme\InstallShield Installation Information
2009-09-06 19:24:41 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-29 16:30:06 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-29 13:50:16 ----D---- C:\WINDOWS\system32\Restore

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-27 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032]
R2 hcmon;VMware hcmon; \??\C:\WINDOWS\system32\drivers\hcmon.sys []
R2 vmci;VMware vmci; \??\C:\WINDOWS\system32\Drivers\vmci.sys []
R2 VMnetBridge;VMware Bridge Protocol; C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys [2008-10-28 31280]
R2 VMnetuserif;VMware Network Application Interface; \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys []
R2 VMparport;VMware VMparport; \??\C:\WINDOWS\system32\Drivers\VMparport.sys []
R2 vmx86;VMware vmx86; \??\C:\WINDOWS\system32\Drivers\vmx86.sys []
R2 vstor2-ws60;Vstor2 WS60 Virtual Storage Driver; \??\C:\Programme\VMware\VMware Workstation\vstor2-ws60.sys []
R3 ASFWHide;ASFWHide; \??\C:\DOKUME~1\Pontius\LOKALE~1\Temp\ASFWHide []
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-12-02 3452928]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-07-18 4547584]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-08-07 98944]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 vmkbd;VMware kbd; \??\C:\WINDOWS\system32\drivers\VMkbd.sys []
R3 VMnetAdapter;VMware Virtual Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\vmnetadapter.sys [2008-10-28 16560]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 a8k0dv1u;a8k0dv1u; C:\WINDOWS\system32\drivers\a8k0dv1u.sys []
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-14 40320]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2007-06-21 42512]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2008-11-07 32000]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XDva190;XDva190; \??\C:\WINDOWS\system32\XDva190.sys []
S3 XDva279;XDva279; \??\C:\WINDOWS\system32\XDva279.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-12-01 598016]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 IGDCTRL;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-06-19 75064]
R2 VMAuthdService;VMware Authorization Service; C:\Programme\VMware\VMware Workstation\vmware-authd.exe [2008-10-29 113200]
R2 VMnetDHCP;VMware DHCP Service; C:\WINDOWS\system32\vmnetdhcp.exe [2008-10-29 326192]
R2 VMware NAT Service;VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [2008-10-29 399920]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-11-20 536872]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-12-01 593920]
S2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 npggsvc;nProtect GameGuard Service; C:\WINDOWS\system32\GameMon.des [2009-02-17 2736890]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2007-06-21 92792]
S3 ufad-ws60;VMware Agent Service; C:\Programme\VMware\VMware Workstation\vmware-ufad.exe [2008-10-02 191024]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Donthackme · 27.09.2009, 18:38

Hallo pontius

Zitat:

Die HijackThis online Auswertung meint, es ist alles in Ordnung.

es ist nicht alles in Ordnung

Zitat:

Die bei uech verlinkte Setup Datei von Malwarebytes-Anti-Malware lässt sich nicht ausführen (keine Reaktion bei Doppelklick).
Die von der Hersteller Seite lässt sich installieren, aber das Programm lässt sich auch nicht ausführen.

Das ist kein gutes Zeichen. Versuche die Installations Datei umzubennen und/oder im Abgesicherten Modus zu starten.
(Abgesicherter Modus: Beim Booten F8 Taste drücken)

Zitat:

Gleich nach dem Befall wollte ein Programm Verbindung mit dem Internet aufbauen, ich habs mit Ashampoo geblockt, finde es dort aber nicht mehr, auch im Protokoll stehen leider nur Dinger von heute.

Welches Programm?

Checke mal diese Dateien bei VIRUS TOTAL:
VirusTotal - Kostenloser online Viren- und Malwarescanner

C:\WINDOWS\system32\drivers\a8k0dv1u.sys
c:\programme\vmware\vmware workstation\vsocklib.dll

Ergebnis von der ersten Datei hier bitte posten, von der letzten reicht die Angabe des Ergebnisses.

C:\WINDOWS\system32\GameMon.des.exe
Dieser Eintrag wird von mehreren Antivirus Programme als "schädlich" angesehen. Ich würde dir raten, die exe. Datei manuell zu löschen.

Diese Einträge kannst du mit Hijackthis "fixen" da es sich um unnötige Einträge handelt:
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
(Scan mit Hijackthis, Kästchen vor den Einträgen ankreuzen und auf "fix checked" klicken)

Bitte mache mir mal eine Liste, mit CCleaner, von deinen installierten Programmen.
(CCleaner starten/Extras/Programme deinstallieren/Als textdatei speichern)
Poste den Log hier in den Thread.

Danach schauen wir weiter

pontius · 28.09.2009, 15:33

Danke für deine Antwort.

Zitat:

Das ist kein gutes Zeichen. Versuche die Installations Datei umzubennen und/oder im Abgesicherten Modus zu starten.
(Abgesicherter Modus: Beim Booten F8 Taste drücken)

Wenn man die Installations Datei umbenennt, lässt es sich installieren. Das war auch der Grund warum der Installer der Herstellerseite ging, ich habe beide im selben Ordner gespeichert, der 2te Installer wurde also automatisch umbenannt.
Starten, kann ich es immer noch nicht, auch nicht im abgesicherten Modus.

Ich habe übrigens auch Linux drauf.

Zitat:

Gleich nach dem Befall wollte ein Programm Verbindung mit dem Internet aufbauen, ich habs mit Ashampoo geblockt, finde es dort aber nicht mehr, auch im Protokoll stehen leider nur Dinger von heute.

Welches Programm?

Weiss ich leider nicht mehr und ich kann aus meinen Sperrregeln leider nicht heraussagen, welches es sein könnte.

Zitat:

Checke mal diese Dateien bei VIRUS TOTAL:
VirusTotal - Kostenloser online Viren- und Malwarescanner

C:\WINDOWS\system32\drivers\a8k0dv1u.sys
c:\programme\vmware\vmware workstation\vsocklib.dll

Die erste Datei gibt es nicht mehr, die zweite erzielt als Ergebnis 0/41.

Zitat:

C:\WINDOWS\system32\GameMon.des.exe
Dieser Eintrag wird von mehreren Antivirus Programme als "schädlich" angesehen. Ich würde dir raten, die exe. Datei manuell zu löschen.

Erledigt. Nach Neustart war die Datei immer noch gelöscht.

Zitat:

Diese Einträge kannst du mit Hijackthis "fixen" da es sich um unnötige Einträge handelt:
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

Erledigt, tauchen nach Neustart auch nicht mehr auf!

Zitat:

Bitte mache mir mal eine Liste, mit CCleaner, von deinen installierten Programmen.

Folgt:

Code:

ATTFilter

101 Languages of the World
7-Zip 4.65
AA Watcher V 2.9b
AA3Deploy
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Adobe Shockwave Player 11.5
Airline Tycoon - Deluxe
America's Army
America's Army 3
America's Army Deploy Client
Apple Mobile Device Support
Apple Software Update
Ashampoo FireWall 1.20
ATI Display Driver
Auto Gordian Knot 2.55
Avira AntiVir Personal - Free Antivirus
AviSynth 2.5
AVM FRITZ!DSL
Bome's Mouse Keyboard 2.0beta6
Bonjour
Bontago
Bullfrog 4.2 Driver
Byki Express
Caesar 3
CCleaner (remove only)
ClicksAndWhistles
CopyTrans Suite Remove Only
Die Gilde Gold Update v. 2.06
Die Gilde Gold-Edition
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Drift City
eBook to Images
Emergency 2
FileZilla Client 3.2.2.1
Free YouTube to Mp3 Converter version 3.1
GetASFStream
Gigabyte Raid Configurer
Grand Theft Auto IV
Grand Theft Auto Vice City
GTA2
Haufe iDesk-Browser
Haufe iDesk-Service
HijackThis 2.0.2
ijji
ijji Auto Installer
ImgBurn
IrfanView (remove only)
iTunes
Java(TM) 6 Update 7
LevelR
Macromedia Fireworks 3
MediaMonkey 3.0
Melodyne 3.1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Flight Simulator 98
Microsoft Flight Simulator X
Microsoft Games for Windows - LIVE 
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office XP Professional mit FrontPage
Microsoft Speech SDK 5.1
Microsoft Speech SDK 5.1 Language Pack
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411
MIDI Yoke
Miranda IM 0.8.1
Mozilla Firefox (3.0.13)
Mozilla Thunderbird (2.0.0.19)
MSXML 4.0 SP2 Parser und SDK
MSXML 6.0 Parser (KB925673)
Native Instruments Audio 8 DJ Driver
Native Instruments Pro-53
Native Instruments Service Center
Native Instruments Traktor
No23 Recorder
OpenOffice.org 3.0
Opera 9.64
PBCool
PDFCreator
PunkBuster Services
QuickTime
Real Alternative 1.9.0
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Reason 4.0
Rockstar Games Social Club
S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0003]
Safari
Schwedisch AKTIV
Selingua
Sierra-Dienstprogramme
Silent Hunter II
Skype™ 4.0
Steam
Steuer 2007
Steuer Hilfesammlung
Subtitle Workshop 2.51
SUPER © Version 2009.bld.35 (Jan 5, 2009)
Sword of The New World
TeamSpeak 2 RC2
The Rosetta Stone
TIPP10 Version 2.0.3
Uninstall 1.0.0.1
URL Snooper v2.20.02
USB Scanner
VLC media player 0.9.8a
VMware Workstation
VobSub v2.23 (Remove Only)
Windows Media Format 11 runtime
WinPcap 4.1 beta
WinRAR archiver
XviD MPEG4 Video Codec (remove only)
Zattoo 3.3.4 Beta

Nochmal Danke, dass du mir hilfst.
Gruss

Donthackme · 28.09.2009, 18:26

Zitat:

Zitat von pontius

Danke für deine Antwort.
Wenn man die Installations Datei umbenennt, lässt es sich installieren. Das war auch der Grund warum der Installer der Herstellerseite ging, ich habe beide im selben Ordner gespeichert, der 2te Installer wurde also automatisch umbenannt.
Starten, kann ich es immer noch nicht, auch nicht im abgesicherten Modus.

Ok, dann versuche das:
1. Umbenenne die Installationsdatei und wenn installiert umbenne AUCH die auführende exe. datei. Mit einer Endung com, nicht exe.
Also z.B: game.com

Wenn das nicht hilft:
2. Speichere die Malwarebytes Install Datei von einem anderen (sauberen) Computer aus, auf ein USB Stick, überführe sie auf deinem Comp. und versuche sie zu starten.

Zitat:

Ich habe übrigens auch Linux drauf.

Hat nichts zu sagen, wenn die Installation in einem Windows Operativsystem ausgeführt wird.

Zitat:

Die erste Datei gibt es nicht mehr, die zweite erzielt als Ergebnis 0/41

Ob es die erste Datei wirklich nicht mehr gibt, ist fraglich, sie mag sich verstecken. Bitte gehen in den Ordner "Ordneroptionen" /Ansicht/ alle versteckte Dateien und Ordner anzeigen und: Geschützte Systemdateien ausblenden - Häckchen entfernen. Suche dann diese Datei erneut:
Der Pfad ist: C:\WINDOWS\system32\drivers\a8k0dv1u.sys
Das ist keine bekannte Windows Datei und hat da in dem Windows Ordner nichts zu suchen.

Zitat:

Erledigt. Nach Neustart war die Datei immer noch gelöscht.

Erledigt, tauchen nach Neustart auch nicht mehr auf!

Gut gemacht

Bitte deine Programme updaten und mache auch gleichmal eine Windows update Anfrage.

Adobe Reader 9 - Deutsch
Update zu 9.1.3
Adobe - Reader9

Java(TM) 6 Update 7 veraltert
Java-Downloads für alle Betriebssysteme - Sun Microsystems

Mozilla Firefox (3.0.13) veraltert
Bitte zu Firefox 3,5 updaten. Vom Browser aus: Gehe auf "Hilfe" und "Nach Updates suchen" oder
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe

OpenOffice.org 3.0 Update zu 3.1
de: OpenOffice.org: Startseite (deutsch)

Bitte führe folgende Kontroll Scans durch:
FREE ANTIVIRUS online: ActiveScan 2.0 - PANDA SECURITY
und mit deinem Avira im Abgesicherten Modus und mit agressiven Einstellungen:
http://www.trojaner-board.de/54192-a...tellungen.html
Rapport von Avira und evtl. Fünde von Panda bitte in den Thread kopieren.

pontius · 04.10.2009, 15:55

Hab n bissl gebracht, wie haben grad Oktoberfest und da aht man keine Zeit zum am PC sitzen.

Also:

Zitat:

1. Umbenenne die Installationsdatei und wenn installiert umbenne AUCH die auführende exe. datei. Mit einer Endung com, nicht exe.
Also z.B: game.com

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3

30.09.2009 19:34:00
mbam-log-2009-09-30 (19-34-00).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 94462
Laufzeit: 2 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\UACxiqwpjokcd.dll (Rootkit.TDSS) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\UACd.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\UACxiqwpjokcd.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.

Is leider schon ein paar Tage alt.

"C:\WINDOWS\system32\drivers\a8k0dv1u.sys" gibt es echt nicht mehr!

Die Programme hab ich geupdatet oder gelöscht, wenn sie nicht all zu wichtig waren.

Activescan sagt folgendes:

Code:

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-10-03 09:33:37
PROTECTIONS: 1
MALWARE: 10
SUSPECTS: 4
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                8.0.1.30                      Yes       No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\Pontius\Cookies\pontius@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\Pontius\Cookies\pontius@atdmt[2].txt
02537438  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\WINDOWS\system32\drivers\UACnqrkfbcskw.sys
02587846  Adware/SystemGuard2009             Adware              No        0         Yes            No           C:\System Volume Information\_restore{5695AAD9-F6E3-4F4C-A50B-71ABCABC4558}\RP224\A0027422.dll
02623298  Trj/TDSS.CD                        Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\UACbpujalyscd.dll
02714922  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\Traktor-Pro-1.0.1\Traktor-Pro-1.0.1\crack\Patch Traktor Pro.exe
02714922  Generic Trojan                     Virus/Trojan        No        0         No             No           C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\Traktor-Pro-1.0.1.part1.rar[Traktor-Pro-1.0.1\crack\Patch Traktor Pro.exe]
02724218  Adware/SystemGuard2009             Adware              No        0         Yes            No           C:\System Volume Information\_restore{5695AAD9-F6E3-4F4C-A50B-71ABCABC4558}\RP224\A0027438.dll
03738688  Generic Malware                    Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\No23 Recorder\vorbis.dll
03738747  Generic Malware                    Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\No23 Recorder\vorbisenc.dll
03738911  Generic Malware                    Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\No23 Recorder\vorbisfile.dll
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QCYG36S\fixmapi[1].exe
No        C:\WINDOWS\system32\huwqslkac.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
212494    HIGH           MS09-042
212493    HIGH           MS09-041
212490    HIGH           MS09-038
211784    HIGH           MS09-032
211781    HIGH           MS09-029
210625    HIGH           MS09-026
210624    HIGH           MS09-025
210621    HIGH           MS09-022
210618    HIGH           MS09-019
208380    HIGH           MS09-015
208379    HIGH           MS09-014
208378    HIGH           MS09-013
208377    HIGH           MS09-012
206981    HIGH           MS09-007
206980    HIGH           MS09-006
204670    HIGH           MS09-001
203806    HIGH           MS08-078
203508    HIGH           MS08-073
203505    HIGH           MS08-071
202465    HIGH           MS08-068
201683    HIGH           MS08-067
201258    HIGH           MS08-066
201256    HIGH           MS08-064
201255    HIGH           MS08-063
201253    HIGH           MS08-061
201250    HIGH           MS08-058
209275    HIGH           MS08-049
209273    HIGH           MS08-045
196455    MEDIUM         MS08-037
194862    HIGH           MS08-032
194861    HIGH           MS08-031
194860    HIGH           MS08-030
;===================================================================================================================================================================================

Und Antivir mit den Einstellungen wie du gesagt hast:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 4. Oktober 2009  12:31

Es wird nach 1754164 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir Personal - FREE Antivirus
Seriennummer:     0000149996-ADJIE-0000001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Abgesicherter Modus
Benutzername:     Administrator
Computername:     P-713B0CF37B2D4

Versionsinformationen:
BUILD.DAT     : 8.2.0.353      17048 Bytes  15.05.2009 12:02:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.4.132    5707264 Bytes  24.06.2009 16:44:50
ANTIVIR2.VDF  : 7.1.6.1      3857920 Bytes  16.09.2009 23:17:24
ANTIVIR3.VDF  : 7.1.6.44      486400 Bytes  28.09.2009 13:15:32
Engineversion : 8.2.1.27  
AEVDF.DLL     : 8.1.1.2       106867 Bytes  16.09.2009 16:07:21
AESCRIPT.DLL  : 8.1.2.33      479611 Bytes  22.09.2009 16:04:31
AESCN.DLL     : 8.1.2.5       127346 Bytes  06.09.2009 16:05:30
AERDL.DLL     : 8.1.2.4       430452 Bytes  16.07.2009 16:05:30
AEPACK.DLL    : 8.2.0.0       422261 Bytes  16.09.2009 16:07:17
AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  17.06.2009 20:30:51
AEHEUR.DLL    : 8.1.0.155    1921400 Bytes  23.08.2009 22:21:35
AEHELP.DLL    : 8.1.7.0       237940 Bytes  06.09.2009 16:05:28
AEGEN.DLL     : 8.1.1.66      364917 Bytes  26.09.2009 16:04:32
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.8.1       184693 Bytes  16.09.2009 16:07:09
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 17:31:06
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 4. Oktober 2009  12:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\AA283FullInstaller.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> AAComp~1.cab
        [1] Archivtyp: CAB (Microsoft)
        --> M_AA2_WeaponsCache.usx.fz
          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\setupz\zonealarm8en.exe
    [0] Archivtyp: ZIP SFX (self extracting)
      --> WINDOWS6.0-KB929547-V2-X64.MSU
        [1] Archivtyp: CAB (Microsoft)
        --> Windows6.0-KB929547-v2-x64.cab
          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\sprache\other swed\PSWC.part2.rar
    [0] Archivtyp: RAR
    --> Swedish 07.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'H:\' <Filme>


Ende des Suchlaufs: Sonntag, 4. Oktober 2009  15:57
Benötigte Zeit:  3:25:53 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  20281 Verzeichnisse wurden überprüft
 381780 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 381778 Dateien ohne Befall
   9715 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise

Gerade während ich schreibe hat Antivir folgendes gefunden:

Code:

ATTFilter

In der Datei 'C:\WINDOWS\system32\UACosduyogqls.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Y.1590' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Gruss

Donthackme · 04.10.2009, 20:37

An die Helfer von Trojaner Board.

Ich bitte darum diesen Fall zu übernehmen, da ich hier auf Trojaner Board nicht mehr aktiv sein werde.

@ Pontius
Es wird jemand von den anderen Helfern den Bereinigungsprozess fortführen.

Mfg.

DH.

cosinus · 07.10.2009, 21:50

Hallo,

ich werd mal für donthackme einspringen. Dein letztes RSIT-Logfile ist schon fast zwei Wochen her, mach mal bitte ein frisches mit dieser umbenannten version von RSIT => File-Upload.net - pluescheule.exe

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

pontius · 07.10.2009, 22:35

Danke, dass du mir hilfst.
Brauchst du alle Logs noch einmal?
Hier ist erst mal RSIT:

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pontius at 2009-10-07 23:32:50
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 22 GB (9%) free of 250 GB
Total RAM: 2046 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:32:56, on 07.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Pontius\Desktop\downz\pluescheule.exe
C:\Programme\Trend Micro\HijackThis\Pontius.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\game.exe" /runcleanupscript
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254321194328
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 5848 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-05 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-05 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-07-05 16380416]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe [2007-03-20 36864]
"36X Raid Configurer"=C:\WINDOWS\system32\xRaidSetup.exe [2007-05-25 1953792]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"Ashampoo FireWall"=C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe [2007-04-05 3251800]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
" Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\game.exe /runcleanupscript []
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-05 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-12-01 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Miranda IM\miranda32.exe"="C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM"
"C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe"="C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\Programme\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe"="C:\Programme\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Programme\Rockstar Games\Grand Theft Auto IV\GTAIV.exe"="C:\Programme\Rockstar Games\Grand Theft Auto IV\GTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\America's Army\System\ArmyOps.exe"="C:\Programme\America's Army\System\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood"
"C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: "
"C:\ijji\ENGLISH\u_skid.exe"="C:\ijji\ENGLISH\u_skid.exe:*:Enabled:<ijji Downloader>"
"C:\Programme\DriftCity\DriftCity.exe"="C:\Programme\DriftCity\DriftCity.exe:*:Enabled

riftCity"
"C:\Programme\VideoLAN\VLC\vlc.exe"="C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\Programme\VMware\VMware Workstation\vmware-authd.exe"="C:\Programme\VMware\VMware Workstation\vmware-authd.exe:*:Enabled:VMware Authd"
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:AVM FRITZ!DSL - igdctrl.exe"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!DSL - fboxupd.exe"
"C:\Programme\FRITZ!DSL\WebwaIgd.exe"="C:\Programme\FRITZ!DSL\WebwaIgd.exe:*:Enabled:AVM FRITZ!DSL - webwaigd.exe"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*

isabled:Microsoft DirectPlay Voice Test"
"C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe"="C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe"="C:\Programme\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\Programme\America's Army Deploy Client\AADeployClient.exe"="C:\Programme\America's Army Deploy Client\AADeployClient.exe:*:Enabled:AADeployClient"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Programme\Steam\steamapps\common\america's army 3\Binaries\AA3Game.exe"="C:\Programme\Steam\steamapps\common\america's army 3\Binaries\AA3Game.exe:*:Enabled:America's Army 3"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-10-05 14:57:06 ----A---- C:\WINDOWS\system32\javaws.exe
2009-10-05 14:57:06 ----A---- C:\WINDOWS\system32\javaw.exe
2009-10-05 14:57:06 ----A---- C:\WINDOWS\system32\java.exe
2009-10-05 14:57:06 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-10-02 16:32:00 ----D---- C:\Programme\ANSTOSS 3
2009-09-30 19:38:12 ----D---- C:\Programme\Panda Security
2009-09-30 16:45:40 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-09-30 16:45:40 ----D---- C:\Programme\Adobe
2009-09-30 16:41:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-09-30 16:40:41 ----D---- C:\WINDOWS\system32\PreInstall
2009-09-30 16:40:38 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-09-30 16:40:38 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-30 16:37:04 ----A---- C:\WINDOWS\system32\wups2.dll
2009-09-30 16:37:03 ----A---- C:\WINDOWS\system32\wucltui.dll.mui
2009-09-30 16:37:03 ----A---- C:\WINDOWS\system32\wuaueng.dll.mui
2009-09-30 16:37:02 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-09-30 16:37:02 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2009-09-30 16:26:33 ----D---- C:\Dokumente und Einstellungen\Pontius\Anwendungsdaten\Malwarebytes
2009-09-28 16:13:35 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-28 16:13:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-28 16:12:19 ----A---- C:\WINDOWS\ntbtlog.txt
2009-09-26 16:49:56 ----D---- C:\rsit
2009-09-26 16:39:20 ----D---- C:\Programme\CCleaner
2009-09-08 15:01:38 ----D---- C:\Programme\Airline Tycoon - Deluxe
2009-09-08 13:36:27 ----D---- C:\Programme\Monte Cristo

======List of files/folders modified in the last 1 months======

2009-10-07 23:32:52 ----D---- C:\WINDOWS\Prefetch
2009-10-07 19:46:40 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-10-07 16:19:48 ----D---- C:\WINDOWS\Temp
2009-10-06 17:43:31 ----D---- C:\Dokumente und Einstellungen\Pontius\Anwendungsdaten\teamspeak2
2009-10-06 17:34:02 ----D---- C:\Programme\Mozilla Thunderbird
2009-10-05 16:30:50 ----HD---- C:\WINDOWS\inf
2009-10-05 14:57:58 ----SHD---- C:\WINDOWS\Installer
2009-10-05 14:57:06 ----D---- C:\WINDOWS\system32
2009-10-05 14:56:53 ----D---- C:\Programme\Java
2009-10-04 18:56:57 ----D---- C:\Dokumente und Einstellungen\Pontius\Anwendungsdaten\dvdcss
2009-10-04 16:52:08 ----D---- C:\WINDOWS\system32\CatRoot2
2009-10-04 16:41:42 ----D---- C:\Programme\Mozilla Firefox
2009-10-04 16:41:05 ----D---- C:\Programme
2009-10-04 16:05:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2009-10-04 00:05:22 ----D---- C:\WINDOWS\system32\drivers
2009-10-03 21:04:04 ----D---- C:\WINDOWS\Minidump
2009-10-03 21:04:04 ----D---- C:\WINDOWS
2009-10-02 17:46:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AA3DeployClient
2009-09-30 20:11:55 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-30 19:36:56 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-30 19:35:41 ----D---- C:\Programme\OpenOffice.org 3
2009-09-30 18:32:44 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-30 16:46:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-09-30 16:37:11 ----D---- C:\WINDOWS\SoftwareDistribution
2009-09-30 16:37:08 ----D---- C:\WINDOWS\Help
2009-09-30 16:33:53 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-09-28 16:12:35 ----D---- C:\Dokumente und Einstellungen
2009-09-28 15:59:30 ----A---- C:\WINDOWS\win.ini
2009-09-28 15:59:27 ----D---- C:\Programme\PHB
2009-09-26 16:42:13 ----D---- C:\WINDOWS\Debug
2009-09-23 17:58:30 ----D---- C:\Programme\Steam
2009-09-10 20:33:02 ----D---- C:\Programme\Opera 10 Beta
2009-09-08 13:36:27 ----HD---- C:\Programme\InstallShield Installation Information

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-27 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032]
R2 hcmon;VMware hcmon; \??\C:\WINDOWS\system32\drivers\hcmon.sys []
R2 vmci;VMware vmci; \??\C:\WINDOWS\system32\Drivers\vmci.sys []
R2 VMnetBridge;VMware Bridge Protocol; C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys [2008-10-28 31280]
R2 VMnetuserif;VMware Network Application Interface; \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys []
R2 VMparport;VMware VMparport; \??\C:\WINDOWS\system32\Drivers\VMparport.sys []
R2 vmx86;VMware vmx86; \??\C:\WINDOWS\system32\Drivers\vmx86.sys []
R2 vstor2-ws60;Vstor2 WS60 Virtual Storage Driver; \??\C:\Programme\VMware\VMware Workstation\vstor2-ws60.sys []
R3 ASFWHide;ASFWHide; \??\C:\DOKUME~1\Pontius\LOKALE~1\Temp\ASFWHide []
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-12-02 3452928]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-07-18 4547584]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-08-07 98944]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 vmkbd;VMware kbd; \??\C:\WINDOWS\system32\drivers\VMkbd.sys []
R3 VMnetAdapter;VMware Virtual Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\vmnetadapter.sys [2008-10-28 16560]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 ao6oz3nd;ao6oz3nd; C:\WINDOWS\system32\drivers\ao6oz3nd.sys []
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-14 40320]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2007-06-21 42512]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2008-11-07 32000]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XDva190;XDva190; \??\C:\WINDOWS\system32\XDva190.sys []
S3 XDva279;XDva279; \??\C:\WINDOWS\system32\XDva279.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-12-01 598016]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 IGDCTRL;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-05 153376]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-06-19 75064]
R2 VMAuthdService;VMware Authorization Service; C:\Programme\VMware\VMware Workstation\vmware-authd.exe [2008-10-29 113200]
R2 VMnetDHCP;VMware DHCP Service; C:\WINDOWS\system32\vmnetdhcp.exe [2008-10-29 326192]
R2 VMware NAT Service;VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [2008-10-29 399920]
R3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-11-20 536872]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-12-01 593920]
S2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 npggsvc;nProtect GameGuard Service; C:\WINDOWS\system32\GameMon.des -service []
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2007-06-21 92792]
S3 ufad-ws60;VMware Agent Service; C:\Programme\VMware\VMware Workstation\vmware-ufad.exe [2008-10-02 191024]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Bei einem ist es doch ok, wenn ichs auch hier poste?

Gruss
Der Ponti

cosinus · 08.10.2009, 10:53

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\ao6oz3nd.sys
C:\WINDOWS\gdrv.sysgdrv.sys
C:\WINDOWS\system32\XDva190.sys
C:\WINDOWS\system32\XDva279.sys

Danach: Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

pontius · 08.10.2009, 12:53

Bei mir werden standartmäßig alle Dateien angezeigt. Ich habe es aber noch einmal überprüft. Keine der 4 von dir geposteten Dateien ist zu finden.
Nicht manuell, nicht mit der Suche und auch nicht wenn ich den Pfad in die Adressleiste eingebe.

Lop S&D sagt:

Zitat:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Pontius ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
C:\ (Local Disk) - NTFS - Total:244 Go (Free:21 Go)
D:\ (Local Disk)
E:\ (Local Disk) - NTFS - Total:372 Go (Free:219 Go)
F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:372 Go (Free:54 Go)
I:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 08.10.2009|13:46 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[21.12.2008|21:55] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[23.03.2009|18:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{24E3A4D8-9E57-4B19-9715-6E61513095D7}
[26.12.2008|23:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[23.03.2009|18:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3689B77C-90FA-4663-91AB-5AB34383CD81}
[23.03.2009|18:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{442B6EC3-77A0-4817-825F-67F47D7A2E54}
[04.02.2009|19:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
[08.03.2009|17:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{7D4B3D1D-104E-4507-9123-568BC721B7E2}
[02.10.2009|17:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AA3DeployClient
[30.09.2009|16:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[01.05.2009|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\America's Army Deploy Client
[26.12.2008|23:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[26.12.2008|23:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[21.12.2008|23:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[08.02.2009|12:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BTrieve
[28.12.2008|05:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CopyTransControlCenter
[22.12.2008|14:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
[03.05.2009|00:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DonationCoder
[08.02.2009|12:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Haufe
[08.02.2009|12:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lexware
[28.09.2009|16:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[01.04.2009|00:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[23.03.2009|18:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Native Instruments
[16.01.2009|02:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
[10.03.2009|13:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\No23 Recorder
[03.01.2009|19:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Propellerhead Software
[19.01.2009|00:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Real
[10.03.2009|00:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[08.03.2009|17:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Transparent
[04.02.2009|19:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[04.10.2009|16:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\VMware
[30.09.2009|16:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[32|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[21.12.2008|21:55] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[14.09.2009|15:59] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe
[21.12.2008|21:55] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[04.10.2009|16:05] C:\DOKUME~1\LOCALS~1\ANWEND~1\VMware
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[5|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[21.12.2008|21:55] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[08.07.2009|17:37] C:\DOKUME~1\Pontius\ANWEND~1\Adobe
[12.03.2009|01:33] C:\DOKUME~1\Pontius\ANWEND~1\Apple Computer
[28.12.2008|05:04] C:\DOKUME~1\Pontius\ANWEND~1\CopyTrans
[28.12.2008|05:03] C:\DOKUME~1\Pontius\ANWEND~1\CopyTransControlCenter
[22.12.2008|14:26] C:\DOKUME~1\Pontius\ANWEND~1\DAEMON Tools
[22.12.2008|14:30] C:\DOKUME~1\Pontius\ANWEND~1\DAEMON Tools Lite
[22.12.2008|14:26] C:\DOKUME~1\Pontius\ANWEND~1\DAEMON Tools Pro
[25.02.2009|14:22] C:\DOKUME~1\Pontius\ANWEND~1\DivX
[04.10.2009|18:56] C:\DOKUME~1\Pontius\ANWEND~1\dvdcss
[02.03.2009|18:09] C:\DOKUME~1\Pontius\ANWEND~1\FileZilla
[22.03.2009|22:56] C:\DOKUME~1\Pontius\ANWEND~1\FRITZ!
[08.02.2009|12:33] C:\DOKUME~1\Pontius\ANWEND~1\Haufe
[30.03.2009|17:10] C:\DOKUME~1\Pontius\ANWEND~1\Help
[16.01.2009|18:06] C:\DOKUME~1\Pontius\ANWEND~1\i42 Software
[21.12.2008|22:12] C:\DOKUME~1\Pontius\ANWEND~1\Identities
[03.02.2009|04:37] C:\DOKUME~1\Pontius\ANWEND~1\ijjigame
[22.03.2009|19:17] C:\DOKUME~1\Pontius\ANWEND~1\ImgBurn
[21.12.2008|23:56] C:\DOKUME~1\Pontius\ANWEND~1\InstallShield
[21.12.2008|23:45] C:\DOKUME~1\Pontius\ANWEND~1\Macromedia
[30.09.2009|16:26] C:\DOKUME~1\Pontius\ANWEND~1\Malwarebytes
[19.01.2009|00:36] C:\DOKUME~1\Pontius\ANWEND~1\Media Player Classic
[31.03.2009|23:57] C:\DOKUME~1\Pontius\ANWEND~1\Microsoft
[08.07.2009|19:50] C:\DOKUME~1\Pontius\ANWEND~1\Miranda
[02.05.2009|23:57] C:\DOKUME~1\Pontius\ANWEND~1\Mozilla
[23.12.2008|21:07] C:\DOKUME~1\Pontius\ANWEND~1\Nero
[28.01.2009|16:04] C:\DOKUME~1\Pontius\ANWEND~1\NPLUTO Corporation
[22.12.2008|00:33] C:\DOKUME~1\Pontius\ANWEND~1\OpenOffice.org
[16.06.2009|14:39] C:\DOKUME~1\Pontius\ANWEND~1\Opera
[30.04.2009|15:11] C:\DOKUME~1\Pontius\ANWEND~1\Opera Sikop
[06.06.2009|17:08] C:\DOKUME~1\Pontius\ANWEND~1\Orbit
[03.01.2009|19:24] C:\DOKUME~1\Pontius\ANWEND~1\Propellerhead Software
[23.06.2009|22:12] C:\DOKUME~1\Pontius\ANWEND~1\Real
[22.12.2008|15:06] C:\DOKUME~1\Pontius\ANWEND~1\SecuROM
[29.05.2009|17:33] C:\DOKUME~1\Pontius\ANWEND~1\Skype
[29.05.2009|16:01] C:\DOKUME~1\Pontius\ANWEND~1\skypePM
[22.12.2008|00:31] C:\DOKUME~1\Pontius\ANWEND~1\Sun
[22.12.2008|00:00] C:\DOKUME~1\Pontius\ANWEND~1\Talkback
[06.10.2009|17:43] C:\DOKUME~1\Pontius\ANWEND~1\teamspeak2
[22.12.2008|00:00] C:\DOKUME~1\Pontius\ANWEND~1\Thunderbird
[04.02.2009|19:25] C:\DOKUME~1\Pontius\ANWEND~1\TuneUp Software
[07.03.2009|16:26] C:\DOKUME~1\Pontius\ANWEND~1\Ventrilo
[24.12.2008|02:41] C:\DOKUME~1\Pontius\ANWEND~1\vlc
[10.03.2009|10:43] C:\DOKUME~1\Pontius\ANWEND~1\VMware
[22.12.2008|01:53] C:\DOKUME~1\Pontius\ANWEND~1\WinRAR
[0|Datei(en)] C:\DOKUME~1\Pontius\ANWEND~1\Bytes
[46|Verzeichnis(se),] C:\DOKUME~1\Pontius\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[04.10.2009 16:04][--ah-----] C:\WINDOWS\tasks\SA.DAT
[18.08.2001 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[28.03.2009|20:09] C:\Programme\7-Zip
[22.03.2009|19:48] C:\Programme\AA Watcher
[30.09.2009|16:45] C:\Programme\Adobe
[08.09.2009|15:04] C:\Programme\Airline Tycoon - Deluxe
[09.03.2009|15:10] C:\Programme\aLeX^rS
[03.02.2009|21:03] C:\Programme\America's Army
[01.05.2009|19:40] C:\Programme\America's Army Deploy Client
[22.12.2008|02:01] C:\Programme\America's Army Server Manager
[02.10.2009|16:36] C:\Programme\ANSTOSS 3
[26.12.2008|23:38] C:\Programme\Apple Software Update
[04.02.2009|18:53] C:\Programme\Ashampoo
[02.06.2009|11:28] C:\Programme\Assimil
[30.08.2009|12:17] C:\Programme\AutoGK
[21.12.2008|23:50] C:\Programme\Avira
[28.12.2008|13:34] C:\Programme\AviSynth 2.5
[04.01.2009|16:25] C:\Programme\Bome's Mouse Keyboard
[04.02.2009|18:25] C:\Programme\Bonjour
[07.03.2009|17:48] C:\Programme\Bontago
[30.03.2009|17:06] C:\Programme\Bullfrog 4.2 Driver
[26.09.2009|16:39] C:\Programme\CCleaner
[23.04.2009|00:31] C:\Programme\Celemony
[22.04.2009|14:33] C:\Programme\Common Files
[02.01.2009|18:17] C:\Programme\Common~1
[21.12.2008|21:53] C:\Programme\ComPlus Applications
[22.12.2008|14:24] C:\Programme\DAEMON Tools Lite
[25.02.2009|13:55] C:\Programme\DivX
[02.08.2009|14:18] C:\Programme\DriftCity
[30.12.2008|20:04] C:\Programme\DVDVideoSoft
[23.04.2009|00:39] C:\Programme\eRightSoft
[01.03.2009|20:29] C:\Programme\FileZilla FTP Client
[22.03.2009|22:07] C:\Programme\FRITZ!DSL
[30.08.2009|12:15] C:\Programme\Gabest
[03.05.2009|22:59] C:\Programme\gamigo
[30.09.2009|19:36] C:\Programme\Gemeinsame Dateien
[19.05.2009|20:15] C:\Programme\GTA2
[08.02.2009|12:15] C:\Programme\Haufe
[16.01.2009|18:05] C:\Programme\i42 Software
[22.03.2009|19:05] C:\Programme\ImgBurn
[08.09.2009|13:36] C:\Programme\InstallShield Installation Information
[21.12.2008|23:52] C:\Programme\Intel
[26.12.2008|23:38] C:\Programme\Internet Explorer
[26.12.2008|23:38] C:\Programme\iPod
[30.03.2009|15:54] C:\Programme\IrfanView
[26.12.2008|23:38] C:\Programme\iTunes
[05.10.2009|14:56] C:\Programme\Java
[01.01.2009|18:13] C:\Programme\JoWooD
[08.02.2009|12:16] C:\Programme\Lexware
[13.03.2009|11:51] C:\Programme\Macromedia
[30.09.2009|16:26] C:\Programme\Malwarebytes' Anti-Malware
[28.12.2008|18:44] C:\Programme\MediaMonkey
[21.12.2008|21:53] C:\Programme\Messenger
[21.12.2008|21:55] C:\Programme\microsoft frontpage
[31.03.2009|23:45] C:\Programme\Microsoft Games
[22.12.2008|13:58] C:\Programme\Microsoft Games for Windows - LIVE
[22.12.2008|01:17] C:\Programme\Microsoft Office
[02.01.2009|20:31] C:\Programme\Microsoft Speech SDK 5.1
[08.07.2009|18:37] C:\Programme\Miranda IM
[08.07.2009|19:50] C:\Programme\Miranda IM_2
[01.06.2009|11:27] C:\Programme\Modelleisenbahn 2008 Demo
[08.09.2009|13:36] C:\Programme\Monte Cristo
[21.12.2008|21:54] C:\Programme\Movie Maker
[04.10.2009|16:41] C:\Programme\Mozilla Firefox
[06.10.2009|17:34] C:\Programme\Mozilla Thunderbird
[22.12.2008|14:11] C:\Programme\MSBuild
[21.12.2008|21:52] C:\Programme\MSN
[21.12.2008|21:53] C:\Programme\MSN Gaming Zone
[01.04.2009|00:09] C:\Programme\MSXML 4.0
[25.07.2009|11:26] C:\Programme\Native Instruments
[16.01.2009|02:21] C:\Programme\Nero
[21.12.2008|21:54] C:\Programme\NetMeeting
[28.01.2009|01:11] C:\Programme\NHN USA
[21.12.2008|21:53] C:\Programme\Online Services
[21.12.2008|21:54] C:\Programme\Online-Dienste
[30.09.2009|19:35] C:\Programme\OpenOffice.org 3
[30.04.2009|15:13] C:\Programme\Opera
[10.09.2009|20:33] C:\Programme\Opera 10 Beta
[21.12.2008|21:54] C:\Programme\Outlook Express
[30.09.2009|19:38] C:\Programme\Panda Security
[29.08.2009|11:18] C:\Programme\PC TechZone
[15.03.2009|19:34] C:\Programme\PDFCreator
[28.09.2009|15:59] C:\Programme\PHB
[03.01.2009|18:53] C:\Programme\Propellerhead
[26.12.2008|23:38] C:\Programme\QuickTime
[19.01.2009|00:36] C:\Programme\Real Alternative
[21.12.2008|23:56] C:\Programme\Realtek
[22.12.2008|14:07] C:\Programme\Reference Assemblies
[25.07.2009|22:55] C:\Programme\Rockstar Games
[12.03.2009|01:33] C:\Programme\Safari
[12.08.2009|16:59] C:\Programme\Schwedisch AKTIV
[23.12.2008|18:07] C:\Programme\Selingua
[15.06.2009|15:55] C:\Programme\Sierra On-Line
[19.03.2009|20:43] C:\Programme\sixteen tons entertainment
[10.03.2009|00:12] C:\Programme\Skype
[11.07.2009|19:19] C:\Programme\SSI
[23.09.2009|17:58] C:\Programme\Steam
[12.07.2009|08:55] C:\Programme\Sword of The New World
[04.02.2009|16:32] C:\Programme\Teamspeak2_RC2
[02.06.2009|16:45] C:\Programme\The Rosetta Stone
[28.04.2009|18:09] C:\Programme\THQ
[16.01.2009|23:00] C:\Programme\Tipp10
[02.06.2009|17:31] C:\Programme\TLI
[08.03.2009|17:07] C:\Programme\Transparent
[24.01.2009|21:47] C:\Programme\Trend Micro
[22.12.2008|14:14] C:\Programme\turbo delphi
[23.04.2009|00:31] C:\Programme\u-he
[21.12.2008|22:12] C:\Programme\Uninstall Information
[03.05.2009|00:46] C:\Programme\URLSnooper2
[19.01.2009|17:47] C:\Programme\URUSoft
[17.06.2009|21:22] C:\Programme\USArmy
[22.12.2008|11:56] C:\Programme\VideoLAN
[03.02.2009|11:27] C:\Programme\VMware
[22.12.2008|15:03] C:\Programme\Windows Media Player
[21.12.2008|21:53] C:\Programme\Windows NT
[21.12.2008|21:54] C:\Programme\WindowsUpdate
[28.12.2008|05:03] C:\Programme\WindSolutions
[03.05.2009|00:43] C:\Programme\WinPcap
[22.12.2008|01:53] C:\Programme\WinRAR
[21.12.2008|21:55] C:\Programme\xerox
[30.08.2009|12:17] C:\Programme\XviD
[24.01.2009|17:50] C:\Programme\Zattoo
[02.06.2009|15:54] C:\Programme\Zero G Registry
[0|Datei(en)] C:\Programme\Bytes
[123|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[30.09.2009|16:46] C:\Programme\Gemeinsame Dateien\Adobe
[26.12.2008|23:38] C:\Programme\Gemeinsame Dateien\Apple
[22.03.2009|22:07] C:\Programme\Gemeinsame Dateien\AVM
[22.12.2008|01:17] C:\Programme\Gemeinsame Dateien\Designer
[21.12.2008|21:54] C:\Programme\Gemeinsame Dateien\Dienste
[23.04.2009|00:31] C:\Programme\Gemeinsame Dateien\Digidesign
[17.07.2009|15:32] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[22.12.2008|01:59] C:\Programme\Gemeinsame Dateien\InstallShield
[08.02.2009|12:16] C:\Programme\Gemeinsame Dateien\Lexware
[13.03.2009|11:51] C:\Programme\Gemeinsame Dateien\Macromedia
[22.12.2008|15:04] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[21.12.2008|21:54] C:\Programme\Gemeinsame Dateien\MSSoap
[23.03.2009|18:02] C:\Programme\Gemeinsame Dateien\Native Instruments
[16.01.2009|02:28] C:\Programme\Gemeinsame Dateien\Nero
[21.12.2008|20:45] C:\Programme\Gemeinsame Dateien\ODBC
[10.03.2009|00:12] C:\Programme\Gemeinsame Dateien\Skype
[21.12.2008|20:45] C:\Programme\Gemeinsame Dateien\SpeechEngines
[22.12.2008|01:17] C:\Programme\Gemeinsame Dateien\System
[23.04.2009|00:31] C:\Programme\Gemeinsame Dateien\Tmp
[22.03.2009|22:07] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[22|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 32 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\Pontius\LOKALE~1\Temp\stadistic.log

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-08 13:46:56
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Pontius\Desktop\crack info.txt
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar.rar
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar\Celemony Melodyne Studio Edition v3.1.2.0 Incl Keygen-Air.rar
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar\Celemony Melodyne Studio Edition v3.1.2.0 Incl Keygen-Air.rar\Keygen.exe
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar\Celemony Melodyne Studio Edition v3.1.2.0 Incl Keygen-Air.rar\Setup.exe
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack mit für SP1
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack nicht für SP1
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack mit für SP1\api.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack mit für SP1\fsui.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack mit für SP1\Liesmich.txt
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack mit für SP1\main.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack nicht für SP1\api.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack nicht für SP1\fsui.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack nicht für SP1\Liesmich.txt
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flight_Simulator_X_Patches\FSX Crack nicht für SP1\main.dll
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\images\http%3A%2F%2Fwww.crack.ms%2Fcracks%2Ffavicon.ico
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\images\http%3A%2F%2Fwww.keygen.cc%2Ffavicon.ico
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\images\www.crack.ms.idx
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\images\www.keygen.cc.idx

[F:56][D:8]-> C:\DOKUME~1\Pontius\LOKALE~1\Temp
[F:13][D:0]-> C:\DOKUME~1\Pontius\Cookies
[F:115][D:4]-> C:\DOKUME~1\Pontius\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 08.10.2009|13:49 - Option : [1]

--------------------\\ Scan beendet um 13:49:27

cosinus · 08.10.2009, 14:18

Zitat:

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Pontius\Desktop\crack info.txt
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_ Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_ Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar.rar
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_ Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar\Celemony Melodyne Studio Edition v3.1.2.0 Incl Keygen-Air.rar
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_ Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar\Celemony Melodyne Studio Edition v3.1.2.0 Incl Keygen-Air.rar\Keygen.exe
C:\DOKUME~1\Pontius\Desktop\downz\setupz\Celemony_ Melodyne_Studio_Edition_v3.1.2.0_Incl_Keygen-Air.rar\Celemony Melodyne Studio Edition v3.1.2.0 Incl Keygen-Air.rar\Setup.exe
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack mit für SP1
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack nicht für SP1
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack mit für SP1\api.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack mit für SP1\fsui.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack mit für SP1\Liesmich.txt
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack mit für SP1\main.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack nicht für SP1\api.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack nicht für SP1\fsui.dll
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack nicht für SP1\Liesmich.txt
C:\DOKUME~1\Pontius\Desktop\downz\setupz\x\MS_Flig ht_Simulator_X_Patches\FSX Crack nicht für SP1\main.dll
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ images\http%3A%2F%2Fwww.crack.ms%2Fcracks%2Ffavico n.ico
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ images\http%3A%2F%2Fwww.keygen.cc%2Ffavicon.ico
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ images\**.crack.ms.***
C:\DOKUME~1\Pontius\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\ images\**.keygen.***

Wer Crackz & Warez benutzt, wird sich früher oder später die Finger verbrennen.
Ende im Gelände und für Dich gehts hier weiter => http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html

Support gibts hier nur, wenn die Infektionen nicht von illegaler Software wie Crackz, Keygenz usw. herrühren. Tu Dir selbst einen Gefallen und lass die Finger von sowas, man bekommt da mit auch sehr schnell juristische Probleme.

Virenbefall Opera 9

Plagegeister aller Art und deren Bekämpfung: Virenbefall Opera 9