Zum Anfang möchte ich sagen, dass ich die Suchfunktion benutzt habe, hier die Ergebnisse: Trojaner-Board Suche
Google Suche
Bei der google suche habe ich alles, was auf mein Problem hinweist angeklickt und gelesen, aber nichts gefunden, was das Problem lösen könne, da mein AntiVir keine Viren oder Trojaner gefunden hat. Aber es gibt ja auch fälle, wo AntiVir nichts meldet, obwohl Viren auf dem System sind.
Dafür sind ja Programme wie HijackThis da.

Zu meinem Problem: Meine Firewall ist bei JEDEM start deaktiviert, und ich muss Sie jedes mal starten, was mir bisher aber noch nicht so aufn Keks gegangen ist.
Mein Grund diesen Thread zu öffnen: Ich weiß nicht, ob ich mit Viren überfallen bin, weil die Firewall von alleine deaktiviert.
[Zitat]Schau mal unter Systemsteuerung>Verwaltung>Dienste
Dienst: "Internetverbindungsfirewall"
--> Eigenschaften --> Starttyp: Automatisch --> Starten[/Zitat]
Quelle
Den Punkt Internetverbindungsfirewall finde ich leider nicht, jedoch gibt es weiter unten den Punkt Windows Firewall/Gemeinsame Nutzung der Internetverbindung.
Nun, das Problem besteht schon etwas länger, und AntiVir findet nichts.
Eine Vermutung hätte ich da noch: Vielleicht liegt es daran, dass AntiVir eine Firewall integriert hat. Diese nutze ich aber nicht, wegen den ständigen Nachfragen, und weil es deshalb oft in Spielen laggt, oder Probleme auftauchen.
Dann poste ich auch mal einen HijackThis Log-File:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:23:57, on 11.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Webroot\WebrootSecurity\WRConsumerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Webroot\WebrootSecurity\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Sandboxie\SbieSvc.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Webroot\WebrootSecurity\SpySweeper.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\system32\mmc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Programme\Moyea\YouTube to 3GP Converter\MoyeaCth.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] "C:\Programme\NVIDIA Corporation\nView\nwiz.exe" /install
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] "C:\WINDOWS\system32\ctfmon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1254512589859
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - C:\Programme\Webroot\WebrootSecurity\SpySweeper.exe
O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc.  - C:\Programme\Webroot\WebrootSecurity\WRConsumerService.exe

--
End of file - 6537 bytes
         

Zu guter letzt möchte ich mich im Voraus für Eure mithilfe bedanken.

Denny1000000

Hallo,

nutzt Du diesen PC auch gewerblich? Nur dann wäre eine Kaufversion von AntiVir erforderlich, für den reinen Privatgebrauch reicht AntiVir Free völlig aus.
Aber gut, nun wirst Du das Programm wahrscheinlich gekauft haben - probier doch mal, die Firewallkomponente zu deinstallieren über Systemsteuerung/Software - wenn das nicht geht, knipps den Dienst der Avira-Firewall aus (Dienst beenden, Starttyp deaktiviert) und probier's erneut mit der Windows-Firewall.

Zitat:

Den Punkt Internetverbindungsfirewall finde ich leider nicht, jedoch gibt es weiter unten den Punkt Windows Firewall/Gemeinsame Nutzung der Internetverbindung.

AFAIR hieß bis der Windows-Firewalldienst bis XP SP1 so, ab dem SP2 wurde er in Windows Firewall/Gemeinsame Nutzung der Internetverbindung umbenannt.

Nun, ich habe die Kaufversion, habe aber alles wieder in den Griff bekommen, ich habe in ein paar Threads geguckt, die nichts mit Firewall zutun hatte, und habe Malwarebytes benutzt.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2941
Windows 5.1.2600 Service Pack 3

11.10.2009 12:08:24
mbam-log-2009-10-11 (12-08-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 100950
Laufzeit: 3 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zum Glück gibt's dieses Programm, und vor allem kostenlos.
Jetzt startet die Firewall immer beim Start.

Vielen Dank, dass du mir geantwortet hast

Denny1000000

Die Einträge, die MBAM da entfernt hat, sehen aber nicht bsonders freundlich aus.
Mach mal bitte Logfiles mit RSIT mit dieser umbenannten Version => File-Upload.net - pluescheule.exe

Die Logfiles bitte zippen, auf file-upload.net hochladen und hier verlinken.

Log-Datei
Also ich habe das Programm runtergeladen, ein Log erstellt, und es in ein WinRar Archiv gepackt.

Nochmals vielen dank für deine Hilfe.

Edit:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2941
Windows 5.1.2600 Service Pack 3

11.10.2009 17:23:16
mbam-log-2009-10-11 (17-23-16).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 219374
Laufzeit: 30 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{9FF0597B-3E1C-4734-878F-53CBBD518CF9}\RP41\A0008745.dll (Malware.Packer.T) -> Quarantined and deleted successfully.
         

Das war ein Vollständiger Scan.

Im RSIT-Log sind einige "eklige" Dateien mach mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Teil 1:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-10-10.02 - Dennis' 11.10.2009 18:04.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3263.2643 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Dennis'\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {11638345-E4FC-4BEE-BB73-EC754659C5F6}
AV: Webroot Spy Sweeper *On-access scanning disabled* (Updated) {77E10C7F-2CCA-4187-9394-BDBC267AD597}
FW: Avira Firewall *disabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\progra~1\Webroot\WEBROO~1\Backup\ntSVc.ocx
c:\windows\Installer\35a30c.msp
c:\windows\system32\1626088.dll
c:\windows\system32\17350233.dll
c:\windows\system32\19387818.dll
c:\windows\system32\2254697.dll
c:\windows\system32\29487613.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Service_oreans32


(((((((((((((((((((((((   Dateien erstellt von 2009-09-11 bis 2009-10-11  ))))))))))))))))))))))))))))))
.

2009-10-11 15:36 . 2009-10-11 15:36	--------	d-----w-	c:\programme\Avanquest update
2009-10-11 15:36 . 2009-10-11 15:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-10-11 15:35 . 2009-10-11 15:36	--------	d-----w-	c:\windows\LastGood.Tmp
2009-10-11 15:34 . 2009-10-11 15:34	--------	d-----w-	c:\programme\Sony Ericsson
2009-10-11 15:34 . 2009-10-11 15:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2009-10-11 14:42 . 2009-10-11 14:42	--------	d-----w-	C:\rsit
2009-10-11 10:03 . 2009-10-11 10:03	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Malwarebytes
2009-10-11 10:02 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-11 10:02 . 2009-10-11 10:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-10-11 10:02 . 2009-10-11 10:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-11 10:02 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-10 09:27 . 2009-10-10 09:27	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\teamspeak2
2009-10-10 09:11 . 2009-10-10 09:27	--------	d-----w-	c:\programme\Teamspeak2_RC2
2009-10-09 18:12 . 2009-10-09 18:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-10-09 17:11 . 2009-10-10 14:02	--------	d-----w-	c:\programme\World of Warcraft
2009-10-07 13:11 . 2007-05-17 15:30	318976	----a-w-	c:\windows\system32\avisynth.dll
2009-10-07 13:11 . 2005-07-14 10:31	27648	----a-w-	c:\windows\system32\AVSredirect.dll
2009-10-04 16:40 . 2009-10-04 16:40	--------	d-----w-	c:\programme\Games-Masters.com
2009-10-03 10:02 . 2009-10-03 10:02	--------	d-----w-	c:\programme\NVIDIA Corporation
2009-10-03 10:02 . 2009-10-03 10:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-10-03 10:01 . 2009-10-03 10:01	--------	d-----w-	C:\NVIDIA
2009-10-03 09:13 . 2009-10-03 09:13	--------	d-----w-	c:\programme\Lavalys
2009-10-03 09:07 . 2009-10-03 09:07	--------	d-----w-	c:\programme\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
2009-10-02 19:45 . 2009-10-02 19:45	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Deployment
2009-09-30 19:02 . 2009-09-30 19:02	--------	d-----w-	C:\Fiaa
2009-09-29 19:02 . 2009-09-29 19:02	229224	----a-w-	c:\windows\system32\drivers\VMM.sys
2009-09-29 14:09 . 2009-09-29 14:15	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Temporary Projects
2009-09-29 12:24 . 2009-09-29 12:27	--------	d-----w-	c:\programme\TmUnitedForever
2009-09-28 18:24 . 2009-09-28 18:24	--------	d-----w-	c:\programme\Microsoft Virtual PC
2009-09-26 14:11 . 2009-09-26 14:11	--------	d-----w-	c:\programme\MSSOAP
2009-09-26 14:11 . 2009-09-26 15:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Webroot
2009-09-26 14:11 . 2009-09-26 14:11	--------	d-----w-	c:\programme\Webroot
2009-09-26 14:11 . 2009-09-26 14:11	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Webroot
2009-09-26 14:11 . 2009-05-13 13:39	1563008	----a-w-	c:\windows\WRSetup.dll
2009-09-26 14:10 . 2009-09-26 14:10	164	----a-w-	c:\windows\install.dat
2009-09-26 13:04 . 2009-09-26 13:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2009-09-26 12:08 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\a3863c0.dll
2009-09-26 12:08 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\14d6b9a6.dll
2009-09-25 14:24 . 2009-10-05 15:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-09-25 14:20 . 2005-05-26 13:34	2297552	----a-w-	c:\windows\system32\d3dx9_26.dll
2009-09-25 14:19 . 2009-09-25 14:20	--------	d-----w-	c:\programme\TmNationsForever
2009-09-21 18:45 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\45f8adb.dll
2009-09-21 18:45 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\2b2cc0e7.dll
2009-09-21 18:43 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\c0d4400.dll
2009-09-21 18:43 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\9aa9688.dll
2009-09-21 18:41 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\4957a28.dll
2009-09-21 18:41 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\2d5326f8.dll
2009-09-20 11:16 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\c876e84.dll
2009-09-20 11:16 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\141f31c8.dll
2009-09-19 20:40 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\ab35de4.dll
2009-09-19 20:40 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\43b1bcc.dll
2009-09-19 16:37 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\17f167c8.dll
2009-09-19 13:39 . 2009-09-19 13:42	--------	d-----w-	c:\programme\SystemRequirementsLab
2009-09-19 13:39 . 2009-09-19 13:39	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\SystemRequirementsLab
2009-09-19 10:34 . 2009-10-03 10:29	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-09-19 10:30 . 2009-07-03 14:49	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-09-19 10:27 . 2009-09-19 10:27	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-09-19 10:27 . 2009-09-19 10:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-09-19 10:27 . 2009-09-19 10:27	--------	d-----w-	c:\programme\Lavasoft
2009-09-18 13:14 . 2009-09-18 13:14	--------	d-----w-	c:\programme\Schachtrainer
2009-09-17 16:12 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\13f7bb62.dll
2009-09-17 16:10 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\894cd09.dll
2009-09-17 16:10 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\1fc646ce.dll
2009-09-17 16:08 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\a7bbff2.dll
2009-09-17 16:08 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\d0f448c.dll
2009-09-17 15:53 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\2fd2edf6.dll
2009-09-17 15:53 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\11ee8e20.dll
2009-09-17 15:52 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\22dc492.dll
2009-09-17 15:52 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\156cc6a8.dll
2009-09-17 14:11 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\6c5404.dll
2009-09-17 14:11 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\1db1a89c.dll
2009-09-17 12:54 . 2009-10-02 19:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-17 12:54 . 2009-09-17 13:03	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-09-16 12:01 . 2009-09-16 12:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-09-13 11:32 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\200c5469.dll
2009-09-13 11:28 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\32b7f08.dll
2009-09-13 10:04 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\d135932.dll
2009-09-13 10:04 . 2008-04-14 12:00	82432	---h-tw-	c:\windows\system32\201e2de1.dll
2009-09-13 08:47 . 2009-09-13 11:33	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Ace Explorer
2009-09-13 08:36 . 2009-09-16 12:06	--------	d-----w-	c:\programme\Ace Utilities
2009-09-13 08:35 . 2009-09-13 08:52	--------	d-----w-	c:\programme\Ace Explorer
2009-09-13 08:02 . 2009-09-13 08:13	--------	d-----w-	c:\programme\StepMania
2009-09-12 10:57 . 2009-09-12 10:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-09-12 10:52 . 2009-10-09 18:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-09-12 10:38 . 2009-09-12 10:38	--------	d-----w-	c:\programme\Java
2009-09-12 10:08 . 2009-09-12 10:08	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Ashampoo Movie Shrink & Burn 3
2009-09-12 10:08 . 2009-09-12 10:08	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\ashampoo
2009-09-12 10:08 . 2009-09-12 10:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo
2009-09-12 10:08 . 2009-09-12 10:08	--------	d-----w-	c:\programme\Ashampoo
2009-09-12 08:09 . 2009-09-12 08:09	--------	d-----w-	c:\programme\Microsoft DirectX 9.0 SDK (Summer 2004)
2009-09-12 08:09 . 2009-09-12 08:09	--------	d-----w-	c:\programme\Microsoft Visual Studio .NET
2009-09-11 20:44 . 2009-09-11 20:45	--------	d-----w-	c:\programme\Paint.NET
2009-09-11 20:44 . 2009-10-05 12:22	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Paint.NET
2009-09-11 19:38 . 2009-09-11 19:48	--------	d-----w-	c:\programme\Tastenteufel
2009-09-11 16:48 . 2009-09-11 16:48	--------	d-----w-	C:\Sandbox
2009-09-11 16:47 . 2009-09-11 16:47	--------	d-----w-	c:\programme\Sandboxie
2009-09-11 16:35 . 2009-09-11 16:35	--------	d-----w-	c:\programme\1-abc
2009-09-11 16:34 . 2005-12-01 08:49	23600	----a-w-	c:\windows\system32\drivers\drhard.sys
2009-09-11 16:34 . 2009-09-11 16:34	--------	d-----w-	c:\programme\Dr. Hardware 2008
2009-09-11 16:27 . 2009-09-11 16:27	361728	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-09-11 16:27 . 2009-10-02 18:24	--------	d-----w-	c:\programme\TuneUp Utilities 2008

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-11 16:03 . 2008-04-14 12:00	560904	----a-w-	c:\windows\system32\perfh007.dat
2009-10-11 16:03 . 2008-04-14 12:00	116810	----a-w-	c:\windows\system32\perfc007.dat
2009-10-11 15:36 . 2009-08-13 09:18	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-10-10 16:41 . 2009-08-21 16:38	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Skype
2009-10-10 09:36 . 2009-08-21 16:41	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\skypePM
2009-10-07 13:12 . 2009-10-06 18:41	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Moyea
2009-10-07 13:11 . 2009-10-07 13:11	--------	d-----w-	c:\programme\eRightSoft
2009-10-06 18:47 . 2009-08-29 18:08	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-10-06 18:47 . 2009-08-29 18:08	--------	d-----w-	c:\programme\DVDVideoSoft
2009-10-06 18:41 . 2009-10-06 18:41	--------	d-----w-	c:\programme\Moyea
2009-10-05 11:49 . 2009-08-13 09:26	12712	----a-w-	c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-03 10:03 . 2009-08-12 21:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-10-03 10:03 . 2009-08-12 21:12	--------	d-----w-	c:\programme\AGEIA Technologies
2009-09-25 16:03 . 2009-08-22 18:11	--------	d-----w-	c:\programme\Mozilla Thunderbird 3.0 Beta 3
2009-09-12 10:38 . 2009-08-23 17:07	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-12 09:58 . 2009-09-03 16:28	--------	d-----w-	c:\programme\HyCam2
2009-09-12 08:09 . 2009-09-02 14:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-09-12 07:14 . 2009-09-09 13:19	--------	d-----w-	c:\programme\ShotOnline
2009-09-10 17:42 . 2009-09-02 14:42	--------	d-----w-	c:\programme\Microsoft Silverlight
2009-09-10 11:08 . 2009-09-10 11:08	--------	d-----w-	c:\programme\MSXML 4.0
2009-09-09 13:20 . 2009-08-13 09:47	--------	d-----w-	c:\programme\Ubisoft
2009-09-07 13:57 . 2009-09-06 18:06	--------	d-----w-	c:\programme\CDBurnerXP
2009-09-06 18:07 . 2009-09-06 18:07	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Canneverbe_Limited
2009-09-06 18:07 . 2009-09-06 18:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2009-09-06 14:42 . 2009-09-06 14:42	348160	----a-w-	c:\windows\system32\MSVCR71.dll
2009-09-05 16:26 . 2009-09-05 15:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU
2009-09-05 14:31 . 2009-09-05 14:31	421888	----a-w-	c:\windows\NEXON_EU_DownloaderUpdater.exe
2009-09-05 12:26 . 2009-08-30 17:56	--------	d-----w-	c:\programme\Opera
2009-09-05 09:04 . 2009-09-05 09:04	33824	----a-w-	c:\windows\system32\drivers\oreans32.sys
2009-09-04 13:17 . 2009-09-04 13:17	--------	d-----w-	c:\programme\Visual Basic 6.0 Runtime&Steuerelemente
2009-09-04 13:17 . 2009-09-04 13:17	290816	------w-	c:\windows\Setup1.exe
2009-09-04 13:17 . 2009-09-04 13:17	74752	----a-w-	c:\windows\ST6UNST.EXE
2009-09-03 13:35 . 2009-09-03 13:35	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Datarescue
2009-09-02 15:00 . 2009-09-02 15:00	--------	d-----w-	c:\programme\Gemeinsame Dateien\Merge Modules
2009-09-02 15:00 . 2009-09-02 14:39	--------	d-----w-	c:\programme\Microsoft Visual Studio 9.0
2009-09-02 14:45 . 2009-09-02 14:42	--------	d-----w-	c:\programme\Microsoft SQL Server
2009-09-02 14:44 . 2009-09-02 14:44	--------	d-----w-	c:\programme\MSXML 6.0
2009-09-02 14:44 . 2009-09-02 14:39	--------	d-----w-	c:\programme\Microsoft.NET
2009-09-02 14:42 . 2009-09-02 14:42	--------	d-----w-	c:\programme\Microsoft Synchronization Services
2009-09-02 14:42 . 2009-09-02 14:42	--------	d-----w-	c:\programme\Microsoft SQL Server Compact Edition
2009-09-02 14:40 . 2009-09-02 14:40	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\TeamViewer
2009-09-02 14:40 . 2009-09-02 14:40	--------	d-----w-	c:\programme\TeamViewer
2009-09-02 14:39 . 2009-09-02 14:39	--------	d-----w-	c:\programme\Microsoft SDKs
2009-08-28 19:55 . 2009-08-13 09:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-08-28 17:21 . 2009-08-28 17:19	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\UpdateStar
2009-08-28 17:18 . 2009-08-28 17:18	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Thunderbird
2009-08-28 17:14 . 2009-08-28 17:14	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\RapidSolution
2009-08-28 17:14 . 2009-08-28 17:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution
2009-08-28 17:11 . 2009-08-28 17:11	--------	d-----w-	c:\programme\PixiePack Codec Pack
2009-08-28 17:10 . 2009-08-28 17:10	--------	d-----w-	c:\programme\RapidSolution
2009-08-28 17:07 . 2009-08-28 17:07	--------	d-----w-	c:\programme\Paragon Software
2009-08-28 13:41 . 2009-08-28 13:41	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-08-27 16:15 . 2009-08-22 12:56	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Audacity
2009-08-24 18:18 . 2009-08-24 18:18	--------	d-----w-	c:\programme\IrfanView
2009-08-24 15:25 . 2009-08-24 12:29	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\ArchiCrypt System Doctor
2009-08-24 15:25 . 2009-08-24 12:28	--------	d-----w-	c:\programme\ArchiCrypt System Doctor
2009-08-23 13:54 . 2009-08-13 14:19	--------	d-----w-	c:\programme\CamStudio
2009-08-23 10:12 . 2009-08-23 10:12	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2009-08-23 10:11 . 2009-08-23 10:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2009-08-23 09:56 . 2009-08-23 09:56	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\lowsec
2009-08-23 09:06 . 2009-08-23 09:06	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Avira
2009-08-23 08:29 . 2009-08-13 14:37	--------	d-----w-	c:\programme\LittleFighter2
2009-08-23 08:28 . 2009-08-14 19:47	--------	d-----w-	c:\programme\Little Fighter 2 Toolbar
2009-08-23 07:57 . 2009-08-23 07:57	--------	d-----w-	c:\programme\Trend Micro
2009-08-22 21:43 . 2009-08-22 21:43	67560	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-08-22 18:15 . 2009-08-22 18:15	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\KeePass
2009-08-22 17:15 . 2009-08-21 16:48	--------	d-----w-	c:\programme\Metin2_Germany
2009-08-22 17:02 . 2009-08-22 17:02	361600	----a-w-	c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2009-08-22 17:02 . 2008-04-14 12:00	361600	----a-w-	c:\windows\system32\drivers\TCPIP.SYS
2009-08-22 12:56 . 2009-08-22 12:56	--------	d-----w-	c:\programme\Audacity 1.3 Beta (Unicode)
2009-08-21 16:41 . 2009-08-21 16:41	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2009-08-21 16:38 . 2009-08-21 16:38	--------	d-----r-	c:\programme\Skype
2009-08-21 16:38 . 2009-08-21 16:38	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-21 16:38 . 2009-08-21 16:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-08-18 18:45 . 2009-08-13 12:03	--------	d-----w-	c:\programme\TuneUp Utilities 2007
2009-08-17 01:03 . 2009-08-17 01:03	3674112	----a-w-	c:\windows\system32\nvwssr.dll
2009-08-17 01:02 . 2009-08-17 01:02	229376	----a-w-	c:\windows\system32\nvmccs.dll
2009-08-16 22:57 . 2009-08-16 22:57	1706528	----a-w-	c:\windows\system32\nvcuvenc.dll
2009-08-16 22:57 . 2009-08-16 22:57	1597690	----a-w-	c:\windows\system32\nvdata.bin
2009-08-16 22:57 . 2009-08-12 21:11	485920	----a-w-	c:\windows\system32\nvudisp.exe
2009-08-16 22:57 . 2009-02-09 05:18	868352	----a-w-	c:\windows\system32\nvapi.dll
2009-08-16 22:57 . 2009-02-09 05:18	7729568	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2009-08-16 22:57 . 2009-02-09 05:18	5845760	----a-w-	c:\windows\system32\nv4_disp.dll
2009-08-16 22:57 . 2009-02-09 05:18	2189856	----a-w-	c:\windows\system32\nvcuvid.dll
2009-08-16 22:57 . 2009-02-09 05:18	2002944	----a-w-	c:\windows\system32\nvcuda.dll
2009-08-16 22:57 . 2009-02-09 05:18	155648	----a-w-	c:\windows\system32\nvcodins.dll
2009-08-16 22:57 . 2009-02-09 05:18	155648	----a-w-	c:\windows\system32\nvcod.dll
2009-08-16 22:57 . 2009-02-09 05:18	10457088	----a-w-	c:\windows\system32\nvoglnt.dll
2009-08-15 19:36 . 2009-08-15 15:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-08-15 17:15 . 2009-08-15 17:15	--------	d-----w-	c:\programme\gPotato.eu
2009-08-15 15:55 . 2009-08-15 15:55	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\InterTrust
2009-08-15 15:51 . 2009-08-15 15:51	--------	d-----w-	c:\programme\Take2
2009-08-15 15:43 . 2009-08-15 15:43	--------	d-----w-	c:\programme\MSBuild
2009-08-14 19:48 . 2009-08-14 19:48	--------	d-----w-	c:\programme\SmartClose
2009-08-14 19:24 . 2009-08-14 19:21	7444	----a-w-	c:\windows\system32\drivers\kwflower.log
2009-08-14 19:23 . 2009-08-14 19:22	3239	----a-w-	c:\windows\system32\drivers\kwfupper.log
2009-08-14 19:22 . 2009-08-14 19:22	--------	d-----w-	c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Kerio
2009-08-14 19:21 . 2009-08-14 19:21	--------	d-----w-	c:\programme\Kerio
2009-08-14 12:09 . 2009-08-14 12:07	--------	d-----w-	c:\programme\MP3Gain
2009-08-14 11:36 . 2009-08-14 11:36	70936	----a-w-	c:\windows\system32\PhysXLoader.dll
2006-05-03 09:06 . 2009-10-07 13:11	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-07 13:11	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-07 13:11	216064	--sh--r-	c:\windows\system32\nbDX.dll
.
         

Ich habe eine Frage, undzwar ist gerade die Firewall wieder ausgesprungen, aber evtl. war dies wegen dem Scan. Das überprüfe ich so schnell wie möglich.
Und eine Frage: Was hat dieser Bot bewirkt?

Denny1000000

Teil 2:

Code: Alles auswählenAufklappen

ATTFilter

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-08-13 209153]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SpySweeper"="c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe" [2009-05-13 6345840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WebrootSpySweeperService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WRConsumerService]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe"
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent
"HDDHealth"=c:\programme\HDD Health\HDDHealth.exe -wl
"TuneUp MemOptimizer"=c:\programme\TuneUp Utilities 2007\MemOptimizer.exe
"Firefox"=c:\programme\Mozilla Firefox\firefox.exe
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"UpdateStar"=c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe"
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"="RUNDLL32.EXE" c:\windows\system32\NvCpl.dll,NvStartup
"Alcmtr"=ALCMTR.EXE
"MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"SpySweeper"="c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray
"RTHDCPL"="RTHDCPL.EXE"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"=
"c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
"c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
"c:\\Nexon\\Combat Arms EU\\NMService.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\TmUnitedForever\\TmForever.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5340:TCP"= 5340:TCP:WarRock (TCP)
"5350:UDP"= 5350:UDP:WarRock (UDP)

R0 hotcore3;Hotcore helper;c:\windows\system32\drivers\hotcore3.sys [28.08.2009 19:08 40496]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [19.09.2009 12:30 64160]
R0 ssfs0bbc;ssfs0bbc;c:\windows\system32\drivers\ssfs0bbc.sys [21.04.2009 18:27 29808]
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [13.08.2009 16:16 97608]
R2 AntiVirFirewallService;Avira Firewall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [13.08.2009 16:16 388865]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [13.08.2009 16:16 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.08.2009 16:16 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [13.08.2009 16:16 434945]
R2 WRConsumerService;Webroot Client Service;c:\programme\Webroot\WebrootSecurity\WRConsumerService.exe [26.09.2009 16:11 1205760]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [13.08.2009 16:16 69632]
R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [28.05.2009 15:32 108032]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1028432]
S3 clr_optimization_v4.0.20506_32;.NET Runtime Optimization Service v4.0.20506_X86;c:\windows\Microsoft.NET\Framework\v4.0.20506\mscorsvw.exe [06.05.2009 09:08 104272]
S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [11.09.2009 18:34 23600]
S3 kvnet;Kerio Virtual Network Adapter;c:\windows\system32\drivers\kvnet.sys [23.03.2009 11:25 29696]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys --> c:\windows\system32\DRIVERS\kwflower.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.07.2008 02:27 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.07.2008 02:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.07.2008 02:27 369688]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{54E1342C-1FDF-4F2A-98AB-4E82A5616FC8}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6B4C570F-ADE1-0967-63A6-F255A40D373A}]
c:\windows\system32\RUNDLL.exe
.
Inhalt des "geplante Tasks" Ordners

2009-10-11 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 16:47]

2009-10-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 10:29]

2009-10-02 c:\windows\Tasks\wrSpySweeper_L0D14CB95A05549299D65B65EDC0F1F02.job
- c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe [2009-09-26 13:39]

2009-10-02 c:\windows\Tasks\wrSpySweeper_L0D14CB95A05549299D65B65EDC0F1F02.job
- c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe [2009-09-26 13:39]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Mozilla\Firefox\Profiles\zt7lycmb.default\
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - component: c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Mozilla\Firefox\Profiles\zt7lycmb.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
FF - component: c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Mozilla\Firefox\Profiles\zt7lycmb.default\extensions\allglassv2@ambroos.neowin.net\components\dwmxpcom.dll
FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPOP7PlugIn.dll
FF - plugin: c:\programme\Opera\program\plugins\nppdf32.dll
FF - plugin: c:\windows\Microsoft.NET\Framework\v4.0.20506\WPF\NPWPF.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{C3CD744D-2FAE-4640-8297-16B5DA423104} - (no file)
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-11 18:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1304)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(2172)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Microsoft Virtual PC\VPCShExH.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\programme\Webroot\WebrootSecurity\SpySweeper.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-11 18:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-10-11 16:13

Vor Suchlauf: 16 Verzeichnis(se), 252.038.033.408 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 251.955.576.832 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows 7" /noexecute=optin /fastdetect

422	--- E O F ---	2009-09-29 19:02
         

Sorry, dass es ein Doppelpost war, doch es waren viel zu viele Ziechen, sodass ich es nicht in 1 Post posten konnte.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Vorsicht lange Liste!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
c:\windows\system32\a3863c0.dll
c:\windows\system32\14d6b9a6.dll
c:\windows\system32\45f8adb.dll
c:\windows\system32\2b2cc0e7.dll
c:\windows\system32\c0d4400.dll
c:\windows\system32\9aa9688.dll
c:\windows\system32\4957a28.dll
c:\windows\system32\2d5326f8.dll
c:\windows\system32\c876e84.dll
c:\windows\system32\141f31c8.dll
c:\windows\system32\ab35de4.dll
c:\windows\system32\43b1bcc.dll
c:\windows\system32\17f167c8.dll
c:\windows\system32\13f7bb62.dll
c:\windows\system32\894cd09.dll
c:\windows\system32\1fc646ce.dll
c:\windows\system32\a7bbff2.dll
c:\windows\system32\d0f448c.dll
c:\windows\system32\2fd2edf6.dll
c:\windows\system32\11ee8e20.dll
c:\windows\system32\22dc492.dll
c:\windows\system32\156cc6a8.dll
c:\windows\system32\6c5404.dll
c:\windows\system32\1db1a89c.dll
c:\windows\system32\200c5469.dll
c:\windows\system32\32b7f08.dll
c:\windows\system32\d135932.dll
c:\windows\system32\201e2de1.dll

http://www.trojaner-board.de/78314-firewall-beim-start-immer-deaktiviert.html

Collect::
c:\windows\system32\drivers\oreans32.sys
c:\windows\system32\drivers\drhard.sys

Driver::
drhard
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ehm danke, aber es ComboFix wird immer noch ganz normal gestartet.
Zudem erhalte ich immer eine Nachricht:
Meine Software steht ist in keinster Weise von w ww.combofix.org, oder sowas.

Lad Dir ComboFix bitte neu herunter, die alte combofix bzw. cofi.exe löschen.

Ehm irgendwie funktioniert das bei mir nicht Gibt es auch noch einen anderen Weg, alles untersuchen zu können, bzw. alles fixen zu können.

Das hilft mir nicht weiter. Was genau funktioniert nicht?

Das Problem ist, wenn ich das mit der Datei da mache, also mit dem auf ComboFix ziehen, dann öffnet sich ComboFix ganz normal und macht alles was vorher auch gemacht wurde, ein Scan.

Ja, das bewirkt, dass Combofix neu gestartet wird. Hast Du denn kein Logfile bekommen?