| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Extrem hartnäckiger trojaner.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
06.01.2010, 17:44
| #1 |
 |  Extrem hartnäckiger trojaner. Zunächst mal herzlichen dank für den Hinweis, Ich hätte aber doch gerne gewusst was denn nun diese mbr Meldung bedeutet die mir der mbr Log zeigt.Laut einigen Posts hier kann es sich durchaus um Fehlermeldungen handeln. evice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x074701B00 malicious code @ sector 0x074701B03 ! PE file found in sector at 0x074701B19 ! aber zu deinem tip mit dem neu aufsetzen daran habe ich auch gedacht aber das kann auch schief gehen soweit ich es aus den Posts von Leidesgenossen mit dem selben Problem hier erkennen kann.Einige konnten nicht mal installieren Leute die das gleiche Problem hatten wie ich auch.Dann stehe ich da.Und was denkts du über meine Frage bezüglich den Bankgeschäften ? wie gesagt angenommen Jemand spioniert mene Bankzugangsdaten aus....und ? was kann er damit schon anfangen...?ich benutze einen Elektronischen Tanlistengenerator und ohne TAN LISTEN kann ein potentieller Übeltäter nichts machen oder irre ich ich da ? Ich würde doch gerne leiber erfahren wie ich zumindest versuchen kann das System wieder sauber zu bekommen ohne neu aufsetzen zu müssen und ausserdem bleibt doch die Sorge das WENN ICH NEU AUFSETZE was ist mit den Daten die ich vorher SICHERN muss....die BLEIBEN DOCH VERSEUCHT.....also was bringt das.....ich verseuche höchstens auch noch die Platte auf der ich die Daten sichern muss und es sind gewaltige Datenmengen die ich sichern muss etwa Ein Terabyte.Es muss doch eine Möglichkeit geben den MBR wiedr sauber zu bekommen...?Ich habe auch schon ein fix mbr ausgeführt in der wiederherstellungskonsole jedoch hat es nichts gebracht. 1. was ist mit der Möglichkeit den MBR zu reparieren oder wieder in Ordnung zu bringen. 2.Was kann ein potentieller Übeltäter ohne Tanlisten mit meinen Daten machen. 3.Wie kann ich meine Daten sichern ohne den Schädling auf das Sicherungsmedium zu bringen wobei es sich unbedingt um eine Festplatte handeln muss wegen der Datenmengen. 4.was bedeuetet das genau: copy of MBR has been found in sector 0x074701B00 malicious code @ sector 0x074701B03 ! PE file found in sector at 0x074701B19 ! 5.Welche Möglichkeit gibt es den Schädling loszuwerden ohne zu formatieren 6.wie formatiere ich so das DEFINITIV nichts zurückbleibt denn wenn man andere Betroffene hört hatten einige sogar nach einem Low Level Format noch Schädlinge im MBR. Ich weiss schon das ihr hier nicht zaubern könnt und auch anderes zu tun habt aber ich brauche wirklich eure Hilfe ich spende auch was  ,Ich bin Italiener also wundert euch nicht wenn ich es mit Bestechung versuche BERLINOne PS: Auch wenn ich mich wiederhole,ich mene das Ernst das ich Eure Hilfe wirklich sehr zu schätzen weiss.Man stelle sich nur vor Euer Forum oder ähnliche Forum(e)? würden die Arbeit gänzlich einstellen...na dann arrivederci Roma.Ich beneide euch um euer Wissen.... Rem tene, verba sequentur. Quod scripsi, scripsi.  |
|
07.01.2010, 01:23
| #2 | |||||||
| /// Helfer-Team    |  Extrem hartnäckiger trojaner.Zitat:
Zitat:
Zitat:
Datensicherung: **NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. ** Vor zurückspielen: Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung Zitat:
Zitat:
und Backdoor nur so viel, dass Du nicht der eizige Administrator an dem PC bist... Zitat:
 Eines sollte dir klar sein: Wenn auch Software-Entwickler & Programmierer versuchen mit dem Tempo mithalten, die Virenprogrammierer sind immer einen großen Schritt voran! 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: - starte "Ccleaner" - dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." - wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow Geändert von kira (07.01.2010 um 01:30 Uhr) |
|
07.01.2010, 01:49
| #3 |
| | Extrem hartnäckiger trojaner. Wau das nenne ich UNTERSTÜTZUNG......Danke dir
__________________Also ich mache mich sofort daran ALLES GENAUSO wie von dir beschrieben auszuführen und dann umgehend posten. Danke vielmals BERLINOne |
|
10.01.2010, 18:04
| #4 |
| | Extrem hartnäckiger trojaner. Hallöchen und tut mir leid aber ich habe solche Problem mit meinem Rechner momentan das es etwas gedauert hat einen venrünftigen durchlauf von gemr hinzukriegen hier erstmal das Log von GMER und von combofix und von MBR: Gmer Log GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-10 17:27:51 Windows 5.1.2600 Service Pack 3 Running: 5w5p3665.exe; Driver: C:\DOKUME~1\NOOBODY\LOKALE~1\Temp\pxtoqpod.sys ---- System - GMER 1.0.15 ---- SSDT spbk.sys ZwCreateKey [0xB9EAB0E0] SSDT spbk.sys ZwEnumerateKey [0xB9EC8CA2] SSDT spbk.sys ZwEnumerateValueKey [0xB9EC9030] SSDT spbk.sys ZwOpenKey [0xB9EAB0C0] SSDT spbk.sys ZwQueryKey [0xB9EC9108] SSDT spbk.sys ZwQueryValueKey [0xB9EC8F88] SSDT spbk.sys ZwSetValueKey [0xB9EC919A] INT 0x62 ? 8A823BF8 INT 0x73 ? 8A823BF8 INT 0x73 ? 8A823BF8 INT 0x73 ? 8A895BF8 INT 0x73 ? 8A67CBF8 INT 0x73 ? 8A823BF8 INT 0x82 ? 8A823BF8 INT 0x84 ? 8A67CBF8 INT 0xA4 ? 8A67CBF8 INT 0xA4 ? 8A67CBF8 INT 0xA4 ? 8A67CBF8 INT 0xA4 ? 8A67CBF8 INT 0xB4 ? 8A67CBF8 ---- Kernel code sections - GMER 1.0.15 ---- ? spbk.sys Das System kann die angegebene Datei nicht finden. ! .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB97EB000, 0x2191E7, 0xE8000020] .text USBPORT.SYS!DllUnload B97A28AC 5 Bytes JMP 8A67C1D8 .text a06kc4a7.SYS B9711384 1 Byte [20] .text a06kc4a7.SYS B9711384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...] .text a06kc4a7.SYS B97113AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...] .text a06kc4a7.SYS B97113C4 3 Bytes [00, 00, 00] .text a06kc4a7.SYS B97113C9 1 Byte [00] .text ... .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAA031300, 0x3B6D8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA3E8300, 0x1BEE, 0xE8000020] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spbk.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spbk.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spbk.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spbk.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spbk.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spbk.sys IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!KfAcquireSpinLock] 000000AD IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!READ_PORT_UCHAR] 000000D4 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!KeGetCurrentIrql] 000000A2 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!KfRaiseIrql] 000000AF IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!KfLowerIrql] 0000009C IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!HalGetInterruptVector] 000000A4 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!HalTranslateBusAddress] 00000072 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!KeStallExecutionProcessor] 000000C0 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!KfReleaseSpinLock] 000000B7 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 000000FD IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!READ_PORT_USHORT] 00000093 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000026 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[HAL.dll!WRITE_PORT_UCHAR] 00000036 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[WMILIB.SYS!WmiSystemControl] 000000F7 IAT \SystemRoot\System32\Drivers\a06kc4a7.SYS[WMILIB.SYS!WmiCompleteRequest] 000000CC ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A8911F8 Device \Driver\usbuhci \Device\USBPDO-0 8A59F1F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A8931F8 Device \Driver\dmio \Device\DmControl\DmConfig 8A8931F8 Device \Driver\dmio \Device\DmControl\DmPnP 8A8931F8 Device \Driver\dmio \Device\DmControl\DmInfo 8A8931F8 Device \Driver\usbuhci \Device\USBPDO-1 8A59F1F8 Device \Driver\usbuhci \Device\USBPDO-2 8A59F1F8 Device \Driver\usbehci \Device\USBPDO-3 8A66D1F8 Device \Driver\usbuhci \Device\USBPDO-4 8A59F1F8 Device \Driver\usbuhci \Device\USBPDO-5 8A59F1F8 Device \Driver\usbuhci \Device\USBPDO-6 8A59F1F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8241F8 Device \Driver\usbehci \Device\USBPDO-7 8A66D1F8 Device \Driver\Cdrom \Device\CdRom0 8A5871F8 Device \Driver\Cdrom \Device\CdRom1 8A5871F8 Device \Driver\atapi \Device\Ide\IdePort0 [B9DFEB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 [B9DFEB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort2 [B9DFEB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort3 [B9DFEB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-9 [B9DFEB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-9 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\NetBT \Device\NetBt_Wins_Export 8A01F1F8 Device \Driver\NetBT \Device\NetbiosSmb 8A01F1F8 Device \Driver\PCI_PNP1196 \Device\0000004c spbk.sys Device \Driver\usbuhci \Device\USBFDO-0 8A59F1F8 Device \Driver\usbuhci \Device\USBFDO-1 8A59F1F8 Device \Driver\sptd \Device\976654946 spbk.sys Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89FFA1F8 Device \Driver\usbuhci \Device\USBFDO-2 8A59F1F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89FFA1F8 Device \Driver\usbehci \Device\USBFDO-3 8A66D1F8 Device \Driver\usbuhci \Device\USBFDO-4 8A59F1F8 Device \Driver\Ftdisk \Device\FtControl 8A8241F8 Device \Driver\usbuhci \Device\USBFDO-5 8A59F1F8 Device \Driver\usbuhci \Device\USBFDO-6 8A59F1F8 Device \Driver\usbehci \Device\USBFDO-7 8A66D1F8 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A8921F8 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\JRAID \Device\Scsi\JRAID1 8A8921F8 Device \Driver\JRAID \Device\Scsi\JRAID1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\a06kc4a7 \Device\Scsi\a06kc4a71Port5Path0Target0Lun0 8A882500 Device \Driver\a06kc4a7 \Device\Scsi\a06kc4a71Port5Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\a06kc4a7 \Device\Scsi\a06kc4a71 8A882500 Device \Driver\a06kc4a7 \Device\Scsi\a06kc4a71 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Cdfs \Cdfs 89F971F8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x99 0xB8 0x0E 0x05 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x49 0x19 0x7F 0xAD ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x1F 0x6D 0x70 0x53 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x99 0xB8 0x0E 0x05 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x49 0x19 0x7F 0xAD ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x1F 0x6D 0x70 0x53 ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OOSAFEERASE03.00.00.01MSWINDOWS DF21227837107D622D1CE20BC3D71BD84046E37B9E139FEB5E39A3850F7739A2379B7E050A85BEDDFB66F34EAC9A0E3640B427160803BEEFAFA8B8E2BDA89EF0965CF09A6CCE05D630E537 106F5873924DE4DB33652886154C2EAD401106348FD7F4660C841ADC4681935E539E7B2DE39ED91A2855484FF48473A0E354CA675C89D72132E83FE7665A4D71223E1331E91AF9D0CE6A47 03EE5E0A03984857B6736F5FB9E8A8345BB95BD44C874C4E0B245E0FBE042DB29F2414649A2C2130B8B97EC61B0EC4180083584E1F14B20556D7BA4879AA96B6BB7B1258FEBC9E127BECC7 4CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DA2D97226D213B555A6171C11EC38DE3D3090 9B834800147632CFDB54EDC5149FFD625EBF7E33B988400437A37A66404BCF3547D19E9F87DF005AC367D1F10CBAB37916B763FEA68645FD88CB9FC8A761C110BDE32D8EB2AF6EF8059A40 B97C02A49BEE081760490377F93F04D0CEC27EAECBA869872B1D6E8A28D475C21E0BA46434C82F3B1703760EF20A646619D20311941E3359948306B56259A2FADD11B5D6B0F6D00326EABC 126707AAC60AC9373A1AAEB660B157C3A2ABAD711B029CAD3684423535D34B18625ECDB670C95142CC125B0F6F2C3CDB5B8861546AD26DE791A665C8312 ---- EOF - GMER 1.0.15 ---- Combofix Log: ComboFix 10-01-04.01 - NOOBODY 09.01.2010 9:30.3.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1653 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\NOOBODY\Eigene Dateien\TROJANER\ComboFix.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\temp\Rar$EX00.812\TDSSKiller.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-12-09 bis 2010-01-09 )))))))))))))))))))))))))))))) . 2010-01-06 06:57 . 2010-01-06 06:57 -------- d-----w- c:\programme\SUPERAntiSpyware 2010-01-06 06:31 . 2010-01-06 06:31 -------- d-----w- c:\programme\OO Software 2010-01-06 06:13 . 2010-01-06 06:13 -------- d-----w- c:\programme\Unlocker 2010-01-06 06:08 . 2010-01-06 06:08 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Opera 2010-01-05 21:25 . 2010-01-05 21:25 54016 ----a-w- c:\windows\system32\drivers\qrbwa.sys 2010-01-05 02:22 . 2009-12-12 23:29 77312 ----a-w- C:\mbr.exe 2009-12-30 05:18 . 2009-12-30 05:36 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten 2009-12-30 05:18 . 2009-12-30 05:23 -------- d--h--r- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten 2009-12-30 05:18 . 2008-12-26 15:11 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Netzwerkumgebung 2009-12-30 05:18 . 2008-12-26 15:11 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Druckumgebung 2009-12-30 05:18 . 2010-01-06 06:46 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant 2009-12-26 02:35 . 1994-05-19 09:24 30544 ----a-w- c:\windows\system\DIB.DRV 2009-12-26 02:35 . 2009-12-26 02:35 -------- d-----w- C:\SIERRA 2009-12-26 02:27 . 1994-09-20 23:00 92208 ----a-w- c:\windows\system\WING.DLL 2009-12-26 02:27 . 1994-09-20 23:00 6736 ----a-w- c:\windows\system\WINGDIB.DRV 2009-12-26 02:27 . 1994-09-20 23:00 12800 ----a-w- c:\windows\system\WING32.DLL 2009-12-26 02:27 . 1994-08-23 23:00 188960 ----a-w- c:\windows\system\WINGDE.DLL 2009-12-26 02:27 . 2009-12-26 02:27 -------- d-----w- C:\PROGAMME 2009-12-26 02:26 . 2009-12-26 02:27 -------- d-----w- C:\~MSSTFQF.T 2009-12-26 02:04 . 1997-08-25 12:27 314368 ----a-w- c:\windows\RB2.SCR 2009-12-26 02:04 . 1997-08-25 12:24 3187163 ----a-w- c:\windows\RB2SS.EXE 2009-12-24 22:44 . 2009-12-24 22:44 -------- d-----w- c:\programme\AimOne_AlltoMP3 2009-12-24 20:42 . 2009-12-24 20:42 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Lokale Einstellungen\Anwendungsdaten\Gas Powered Games 2009-12-24 20:23 . 2009-12-24 20:23 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{67C33A62-5B1D-43D1-9600-16006F36EB2B} 2009-12-24 20:23 . 2009-04-19 19:27 2965840 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{67C33A62-5B1D-43D1-9600-16006F36EB2B}\setup.exe 2009-12-24 20:23 . 2009-12-24 20:23 -------- d-----w- c:\programme\Stardock Games 2009-12-24 20:23 . 2009-12-24 20:23 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Lokale Einstellungen\Anwendungsdaten\Stardock 2009-12-24 14:09 . 2009-12-24 14:09 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\Xilisoft Corporation 2009-12-21 02:00 . 2010-01-06 07:01 52224 ----a-w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll 2009-12-19 23:00 . 2009-12-19 23:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI 2009-12-19 22:55 . 2009-11-25 02:20 45056 ----a-w- c:\windows\system32\aticalrt.dll 2009-12-19 22:55 . 2009-11-25 02:44 13533184 ----a-w- c:\windows\system32\atioglxx.dll 2009-12-19 22:55 . 2009-11-25 02:26 65024 ----a-w- c:\windows\system32\atimpc32.dll 2009-12-19 22:55 . 2009-11-25 02:20 45056 ----a-w- c:\windows\system32\aticalcl.dll 2009-12-19 22:55 . 2009-11-25 02:18 3612672 ----a-w- c:\windows\system32\aticaldd.dll 2009-12-19 22:55 . 2009-05-11 22:35 118784 ----a-w- c:\windows\system32\atibtmon.exe 2009-12-19 22:54 . 2009-12-19 22:54 10134 ----a-r- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\Microsoft\Installer\{A778A787-08A4-4089-CB68-02A9737DE532}\ARPPRODUCTICON.exe 2009-12-19 22:54 . 2009-12-19 23:00 -------- d-----w- c:\programme\ATI 2009-12-19 22:54 . 2009-12-19 22:54 -------- d-----w- C:\ATI 2009-12-19 16:03 . 2009-12-19 16:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Startmen 2009-12-19 02:32 . 2009-12-19 02:40 103491713 ----a-w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\G A M E S\GTAIV_TU5.exe 2009-12-19 01:44 . 2009-12-19 01:45 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Lokale Einstellungen\Anwendungsdaten\Fallout3 2009-12-18 23:45 . 2008-09-18 19:10 121064 ------r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3\setup.exe 2009-12-18 23:45 . 2009-12-18 23:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3 2009-12-18 23:37 . 2009-12-18 23:37 16896 ----a-r- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\Microsoft\Installer\{96443F45-13E2-11D6-AC87-00D0B7A9E540}\Icon96443F453.exe 2009-12-18 18:53 . 2009-12-18 18:53 664 ----a-w- c:\windows\system32\d3d9caps.dat 2009-12-13 17:24 . 2009-12-13 17:24 -------- d-----w- c:\programme\MSXML 4.0 2009-12-13 17:23 . 2009-12-16 20:33 -------- d-----w- c:\programme\Microsoft Games 2009-12-13 13:48 . 2009-12-13 13:48 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Lokale Einstellungen\Anwendungsdaten\Opera 2009-12-13 11:31 . 2009-12-13 11:31 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2009-12-13 11:05 . 2009-12-13 11:05 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe 2009-12-13 11:01 . 2009-12-13 11:01 117760 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-12-13 11:00 . 2009-12-13 11:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com 2009-12-13 11:00 . 2009-12-13 11:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-12-12 23:29 . 2008-11-06 01:03 -------- d-----w- C:\SDFix 2009-12-12 23:26 . 2009-12-12 23:26 -------- d-----w- C:\VundoFix Backups 2009-12-12 16:36 . 2009-12-12 16:38 -------- d-----w- c:\dokumente und einstellungen\TUSS Nr.1\Anwendungsdaten\QuickScan 2009-12-12 16:36 . 2009-11-26 16:39 678912 ----a-w- c:\dokumente und einstellungen\TUSS Nr.1\Anwendungsdaten\Mozilla\Firefox\Profiles\81nch0rg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll 2009-12-12 16:36 . 2009-11-26 16:37 768512 ----a-w- c:\dokumente und einstellungen\TUSS Nr.1\Anwendungsdaten\Mozilla\Firefox\Profiles\81nch0rg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll 2009-12-12 06:47 . 2010-01-04 02:59 1 ----a-w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-12-12 06:42 . 2009-12-12 15:59 -------- d-----w- c:\programme\Opera 2009-12-12 06:27 . 2009-12-12 06:27 -------- d-----w- c:\windows\system32\wbem\Repository 2009-12-11 15:33 . 2009-12-11 15:33 575 ----a-w- c:\windows\eReg.dat 2009-12-11 15:29 . 2009-12-11 15:32 -------- d-----w- c:\programme\Clive Barker's Undying 2009-12-11 15:24 . 2009-12-11 15:24 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Lokale Einstellungen\Anwendungsdaten\Codemasters 2009-12-10 17:28 . 2009-12-10 17:28 -------- d-----w- C:\EOS-version-1.5 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-09 08:16 . 2008-12-26 16:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-06 17:14 . 2008-12-26 17:09 36528 ----a-w- c:\dokumente und einstellungen\NOOBODY\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-06 07:01 . 2009-06-30 03:31 117760 ----a-w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2010-01-06 06:57 . 2009-05-17 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-01-06 05:01 . 2009-06-04 20:10 -------- d-----w- c:\programme\CPUID 2010-01-05 22:13 . 2001-08-23 10:00 78360 ----a-w- c:\windows\system32\perfc007.dat 2010-01-05 22:13 . 2001-08-23 10:00 442770 ----a-w- c:\windows\system32\perfh007.dat 2010-01-05 14:43 . 2008-12-26 15:34 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-01-04 21:50 . 2008-12-26 16:40 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-01-04 03:09 . 2009-05-17 19:12 -------- d-----w- c:\programme\Steam 2010-01-02 21:41 . 2008-12-26 16:58 -------- d-----w- c:\programme\SpeedFan 2010-01-02 21:30 . 2009-06-14 17:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-01-02 21:30 . 2009-06-30 03:30 5061520 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-12-30 18:20 . 2009-06-23 13:07 -------- d-----w- c:\programme\Crystal Software 2009-12-30 13:55 . 2009-06-14 17:23 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-30 13:54 . 2009-06-14 17:23 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-26 18:41 . 2008-12-26 16:14 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-12-24 22:46 . 2009-06-27 11:58 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-12-24 22:46 . 2009-06-27 11:58 -------- d-----w- c:\programme\DVDVideoSoft 2009-12-24 22:43 . 2009-06-23 13:07 5 ----a-w- c:\windows\system32\SySatm.dat 2009-12-24 14:09 . 2009-09-08 01:29 -------- d-----w- c:\programme\Xilisoft 2009-12-24 04:29 . 2009-06-04 15:45 457416 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-12-19 22:55 . 2008-12-26 17:01 -------- d-----w- c:\programme\ATI Technologies 2009-12-19 16:10 . 2009-08-19 21:31 107888 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-12-18 12:35 . 2009-05-24 13:08 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\gtk-2.0 2009-12-13 20:36 . 2009-06-05 02:49 -------- d-----w- c:\programme\AGEIA Technologies 2009-12-13 13:06 . 2009-08-10 12:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online 2009-12-13 12:57 . 2009-08-29 01:22 -------- d-----w- c:\programme\CCleaner 2009-12-11 15:29 . 2009-12-11 15:29 0 ----a-w- c:\windows\system32\_r_a_p_.tmp 2009-12-09 06:05 . 2009-07-15 05:02 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-07 05:58 . 2009-09-28 15:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-12-05 03:52 . 2009-09-16 21:12 21840 ----atw- c:\windows\system32\SIntfNT.dll 2009-12-05 03:52 . 2009-09-16 21:12 17212 ----atw- c:\windows\system32\SIntf32.dll 2009-12-01 23:21 . 2009-12-01 23:21 -------- d-----w- c:\dokumente und einstellungen\NOOBODY\Anwendungsdaten\Foxit Software 2009-12-01 19:32 . 2009-12-01 19:10 -------- d-----w- c:\programme\Firefly Studios 2009-12-01 19:28 . 2009-12-01 18:52 -------- d-----w- c:\programme\GameSpy Arcade 2009-12-01 18:49 . 2009-05-20 07:30 38160 ----a-w- c:\dokumente und einstellungen\TUSS Nr.1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-30 08:47 . 2009-11-29 23:08 -------- d-----w- c:\programme\Venetica-DEMO 2009-11-25 20:00 . 2009-09-16 21:09 -------- d-----w- c:\programme\Diablo II 2009-11-25 03:50 . 2008-08-05 00:36 4463104 ----a-w- c:\windows\system32\drivers\ati2mtag.sys 2009-11-25 03:27 . 2008-12-26 17:01 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll 2009-11-25 03:26 . 2008-08-05 00:35 300032 ----a-w- c:\windows\system32\ati2dvag.dll 2009-11-25 03:11 . 2008-08-05 00:36 208896 ----a-w- c:\windows\system32\atipdlxx.dll 2009-11-25 03:11 . 2008-08-05 00:39 155648 ----a-w- c:\windows\system32\Oemdspif.dll 2009-11-25 03:10 . 2008-08-05 00:35 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe 2009-11-25 03:10 . 2008-08-05 00:35 43520 ----a-w- c:\windows\system32\ati2edxx.dll 2009-11-25 03:10 . 2008-08-05 00:35 155648 ----a-w- c:\windows\system32\ati2evxx.dll 2009-11-25 03:09 . 2008-08-05 00:35 602112 ----a-w- c:\windows\system32\ati2evxx.exe 2009-11-25 03:07 . 2008-08-05 00:35 53248 ----a-w- c:\windows\system32\ATIDDC.DLL 2009-11-25 02:59 . 2008-12-26 17:01 311296 ----a-w- c:\windows\system32\atiiiexx.dll 2009-11-25 02:59 . 2008-08-05 00:36 3538496 ----a-w- c:\windows\system32\ati3duag.dll 2009-11-25 02:43 . 2008-08-05 00:39 2142848 ----a-w- c:\windows\system32\ativvaxx.dll 2009-11-25 02:42 . 2008-12-26 17:01 887724 ----a-w- c:\windows\system32\ativva6x.dat 2009-11-25 02:42 . 2008-12-26 17:01 3 ----a-w- c:\windows\system32\ativva5x.dat 2009-11-25 02:26 . 2008-08-05 00:35 65024 ----a-w- c:\windows\system32\amdpcom32.dll 2009-11-25 02:21 . 2008-08-05 00:36 565248 ----a-w- c:\windows\system32\atikvmag.dll 2009-11-25 02:19 . 2008-08-05 00:35 176128 ----a-w- c:\windows\system32\atiadlxx.dll 2009-11-25 02:18 . 2008-08-05 00:36 17408 ----a-w- c:\windows\system32\atitvo32.dll 2009-11-25 02:18 . 2008-08-05 00:35 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll 2009-11-25 02:17 . 2008-08-05 00:36 397312 ----a-w- c:\windows\system32\atiok3x2.dll 2009-11-25 02:12 . 2008-08-05 00:35 638976 ----a-w- c:\windows\system32\ati2cqag.dll 2009-11-22 16:02 . 2009-11-22 16:02 -------- d-----w- c:\programme\Microsoft Silverlight 2009-11-20 16:54 . 2009-11-20 16:54 -------- d-----w- c:\programme\Windows Live 2009-11-20 16:54 . 2009-11-20 16:54 -------- d-----w- c:\programme\Microsoft 2009-11-20 16:54 . 2009-11-20 16:54 -------- d-----w- c:\programme\Windows Live SkyDrive 2009-10-30 02:13 . 2009-10-30 02:13 24 ----a-w- C:\DUKE3D.BAT 2009-10-22 15:59 . 2008-12-26 17:01 196565 ----a-w- c:\windows\system32\atiicdxx.dat 2009-10-13 22:06 . 2009-10-13 22:08 39488 ----a-w- c:\windows\system32\MSOXMLMF.DLL 2006-05-03 09:06 . 2009-06-23 13:11 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2009-06-23 13:11 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2009-06-23 13:11 216064 --sh--r- c:\windows\system32\nbDX.dll . ------- Sigcheck ------- [-] 2009-06-09 . EAEC6EA32BDABD7622371C10B8D68A17 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys [-] 2009-06-09 . EAEC6EA32BDABD7622371C10B8D68A17 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys [-] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\SoftwareDistribution\Download\c2d977c5e0eed03f3e49e46d53b9cd20\sp3qfe\tcpip.sys [-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\SoftwareDistribution\Download\c2d977c5e0eed03f3e49e46d53b9cd20\sp3gdr\tcpip.sys [-] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\SoftwareDistribution\Download\c2d977c5e0eed03f3e49e46d53b9cd20\sp2gdr\tcpip.sys [-] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\SoftwareDistribution\Download\c2d977c5e0eed03f3e49e46d53b9cd20\sp2qfe\tcpip.sys [7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\tcpip.sys [-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\tcpip.sys . ((((((((((((((((((((((((((((( SnapShot@2010-01-05_03.18.56 ))))))))))))))))))))))))))))))))))))))))) . - 2001-08-23 10:00 . 2009-12-18 23:41 66376 c:\windows\system32\perfc009.dat + 2001-08-23 10:00 . 2010-01-05 22:13 66376 c:\windows\system32\perfc009.dat + 2010-01-06 06:57 . 2010-01-06 06:57 65024 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe - 2009-06-30 03:29 . 2009-06-30 03:29 65024 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe - 2009-06-30 03:29 . 2009-06-30 03:29 18944 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe + 2010-01-06 06:57 . 2010-01-06 06:57 18944 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe + 2008-12-26 15:34 . 2010-01-05 14:43 2426 c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin + 2008-12-26 15:34 . 2010-01-05 14:42 8972 c:\windows\pchealth\helpctr\Config\Cntstore.bin + 2010-01-06 06:57 . 2010-01-06 06:57 5120 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF16.exe - 2001-08-23 10:00 . 2009-12-18 23:41 427592 c:\windows\system32\perfh009.dat + 2001-08-23 10:00 . 2010-01-05 22:13 427592 c:\windows\system32\perfh009.dat + 2008-12-26 15:10 . 2010-01-06 03:55 177856 c:\windows\system32\FNTCACHE.DAT + 2010-01-06 06:31 . 2010-01-06 06:31 292878 c:\windows\Installer\{534802E0-761E-47F4-BD27-061BC8F976AE}\NewShortcut5_534802E0761E47F4BD27061BC8F976AE.exe + 2010-01-06 06:31 . 2010-01-06 06:31 292878 c:\windows\Installer\{534802E0-761E-47F4-BD27-061BC8F976AE}\ARPPRODUCTICON.exe + 2010-01-06 06:57 . 2010-01-06 06:57 1583616 c:\windows\Installer\33522.msi + 2010-01-06 06:31 . 2010-01-06 06:31 2050560 c:\windows\Installer\2f7c7.msi . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk.disabled [2009-8-10 699] c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk.disabled [2009-8-10 699] c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk.disabled [2009-8-10 699] c:\dokumente und einstellungen\TUSS Nr.1\Startmen\Programme\Autostart\ DSL-Manager.lnk.disabled [2009-8-10 699] c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk.disabled [2009-8-10 699] c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\ DSL-Manager.lnk.disabled [2009-8-10 699] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsNetHood"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintKey-Pro.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PrintKey-Pro.lnk backup=c:\windows\pss\PrintKey-Pro.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^NOOBODY^Startmenü^Programme^Autostart^Adobe Gamma.lnk.disabled] path=c:\dokumente und einstellungen\NOOBODY\Startmenü\Programme\Autostart\Adobe Gamma.lnk.disabled backup=c:\windows\pss\Adobe Gamma.lnk.disabledStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^NOOBODY^Startmenü^Programme^Autostart^DSL-Manager.lnk] path=c:\dokumente und einstellungen\NOOBODY\Startmenü\Programme\Autostart\DSL-Manager.lnk backup=c:\windows\pss\DSL-Manager.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^NOOBODY^Startmenü^Programme^Autostart^DSL-Manager.lnk.disabled] path=c:\dokumente und einstellungen\NOOBODY\Startmenü\Programme\Autostart\DSL-Manager.lnk.disabled backup=c:\windows\pss\DSL-Manager.lnk.disabledStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\36X Raid Configurer] 2007-08-29 08:55 1966080 ------r- c:\windows\system32\xRaidSetup.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\boincmgr] 2009-06-10 09:05 4182784 ------w- c:\programme\BOINC\boincmgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\boinctray] 2009-06-10 09:05 58112 ------w- c:\programme\BOINC\boinctray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] 2004-02-09 09:32 401491 ----a-w- c:\programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-07-13 12:03 292128 ------w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup] 2007-03-20 06:36 36864 ------r- c:\windows\RaidTool\xInsIDE.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] 2009-07-26 15:44 3883840 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] 2009-11-24 20:24 98304 ----a-w- c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "RichVideo"=2 (0x2) "FirebirdServerMAGIXInstance"=3 (0x3) "JavaQuickStarterService"=2 (0x2) "MSCamSvc"=2 (0x2) "AntiVirUpgradeService"=2 (0x2) "Adobe LM Service"=3 (0x3) "UPnPService"=3 (0x3) "idsvc"=3 (0x3) "Bonjour Service"=3 (0x3) "iPod Service"=3 (0x3) "ICQ Service"=2 (0x2) "Apple Mobile Device"=2 (0x2) "StarWindServiceAE"=2 (0x2) "TDslMgrService"=3 (0x3) "DAUpdaterSvc"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SUPERAntiSpyware"=c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe "Steam"="c:\programme\steam\steam.exe" -silent "EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" -silent "ICQ"="c:\progra~1\ICQ6.5\ICQ.exe" silent "NCsoft Launcher"=c:\programme\NCSoft\Launcher\NCLauncher.exe /Minimized "PlayNC Launcher"= "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background "SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "MSConfig"=c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto "LanguageShortcut"=c:\programme\CyberLink\PowerDVD\Language\Language.exe "LGODDFU"=c:\programme\lg_fwupdate\fwupdate.exe blrun "RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" "VX1000"=c:\windows\vVX1000.exe "LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "EKIJ5000StatusMonitor"=c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe "RTHDCPL"=RTHDCPL.EXE "Alcmtr"=ALCMTR.EXE "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" /min [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Opera\\opera.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "65533:TCP"= 65533:TCP:Services "52344:TCP"= 52344:TCP:Services "3246:TCP"= 3246:TCP:Services "2479:TCP"= 2479:TCP:Services "3389:TCP"= 3389:TCP:Remote Desktop R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [16.12.2009 16:26 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [16.12.2009 16:26 74480] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 06:02 108289] R2 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [04.06.2009 21:10 12672] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.06.2009 17:21 716272] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [10.08.2009 13:10 26816] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [14.06.2009 18:23 38224] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [16.12.2009 16:27 7408] S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?] S4 AntiVirUpgradeService;Avira Upgrade Service;"c:\dokume~1\NOOBODY\LOKALE~1\Temp\AVSETUP_4a5d5d19\basic\avupgsvc.exe" /TEMPSTART:""c:\dokume~1\NOOBODY\LOKALE~1\Temp\AVSETUP_4a5d5d19\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\dokume~1\NOOBODY\LOKALE~1\Temp\AVSETUP_4a5d5d19\basic\avupgsvc.exe [?] S4 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater;c:\programme\Steam\steamapps\common\dragon age origins\bin_ship\daupdatersvc.service.exe [06.11.2009 16:37 25832] S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [29.06.2009 20:44 1527900] S4 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\GEST\GSvr.exe [26.12.2008 17:14 47624] S4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [28.08.2009 13:27 222968] S4 KodakSvc;Kodak AiO Device Service;c:\programme\Kodak\Printer\Center\KodakSvc.exe [25.07.2008 12:34 18944] S4 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [29.06.2009 20:43 544768] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}] 2008-06-18 13:04 8192 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe . Inhalt des "geplante Tasks" Ordners 2009-10-22 c:\windows\Tasks\Microsoft_Hardware_Launch_vVX1000_exe.job - c:\windows\vVX1000.exe [2009-07-14 23:38] . . ------- Zusätzlicher Suchlauf ------- . uLocal Page = hxxp://www.google.com/ uStart Page = hxxp://www.google.com/ mLocal Page = hxxp://www.google.com/ mStart Page = hxxp://www.google.com/ FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-09 09:38 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-507921405-651377827-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:ed,25,99,ea,cc,b8,34,41,47,37,cd,c5,9d,fa,30,ae,9e,d7,09,a8,1b,ab,5d, 8b,1a,4b,1e,f8,e6,ea,40,20,be,cb,99,fe,12,5c,9e,80,8c,e0,d0,fc,01,10,57,6d,\ "??"=hex:cb,d1,2f,38,60,0f,c0,e0,9a,0c,03,aa,c1,47,8a,b1 [HKEY_USERS\S-1-5-21-507921405-651377827-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:f5,82,99,fe,3b,49,40,74,95,4e,16,83,ed,63,de,94,74,7c,16,ec,2d, 82,f3,8b,99,6f,ca,03,c4,b8,6c,e5,46,b7,b5,75,c8,63,72,14,d5,6b,6c,70,81,f6,\ "rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OOSAFEERASE03.00.00.01MSWINDOWS"="DF21227837107D622D1CE20BC3D71BD84046E37B9E139FEB5E39A3850F7739A2379B7E050A85BEDDFB66F34EAC9A0E3640B427160803BEEFAFA 8B8E2BDA89EF0965CF09A6CCE05D630E537106F5873924DE4DB33652886154C2EAD401106348FD7F4660C841ADC4681935E539E7B2DE39ED91A2855484FF48473A0E354CA675C89D72132E 83FE7665A4D71223E1331E91AF9D0CE6A4703EE5E0A03984857B6736F5FB9E8A8345BB95BD44C874C4E0B245E0FBE042DB29F2414649A2C2130B8B97EC61B0EC4180083584E1F14B20556D 7BA4879AA96B6BB7B1258FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DA 2D97226D213B555A6171C11EC38DE3D30909B834800147632CFDB54EDC5149FFD625EBF7E33B988400437A37A66404BCF3547D19E9F87DF005AC367D1F10CBAB37916B763FEA68645FD88C B9FC8A761C110BDE32D8EB2AF6EF8059A40B97C02A49BEE081760490377F93F04D0CEC27EAECBA869872B1D6E8A28D475C21E0BA46434C82F3B1703760EF20A646619D20311941E3359948 306B56259A2FADD11B5D6B0F6D00326EABC126707AAC60AC9373A1AAEB660B157C3A2ABAD711B029CAD3684423535D34B18625ECDB670C95142CC125B0F6F2C3CDB5B8861546AD26DE791A 665C8312CA2AA335B670EF347C231C0349AF86BEE8AE33D02766245DEFA224A90131A65FE237D0AECCF5AF7AEAE7762BD5657CF2CCFD57827E5D79878EE0194426C5ED5DC347E432277E6B 4F7D869D0EF6C2F2B5A4A90920918906A36248CFBBC8B6C1C9FEF7B8B8E4425F85937C0000EAE2B1F307256623D6D9150712F2E5D88FA41E361242B67C910ABA34EF71AB7E0E398622D6C4 D16DD3A82754955B76BAE3BFB6D81D4A4AB6E26B1AA18F77714B6456A3F111880AE87C2AC1A9E0D5B2ABEC1E10CA2B7E4851D4813983BCC3F05DD01B413E084DD80DCC37E9098872FF4CA7 4582AACB6CC717AAC538A7EBCB8CDADB9B3D0E6F5B7B4036D0D40A02531F96A30ED4249709F44AC7995B06E431207FB85C2FEAFE5C547A35F0EA66579BFB938C550E3E93905A3DFCFA2505 D11DD9A28EC66B70C80200A6DB35CCFD9509D89D1F7D4363F960C8A43BCE844DC098F4A90EFC12812A5472190F375DFB2A67295DAFE73EFC2C1A3478BC7F77745C103A89A7F2115196B1C0 54320FE8FEA2E4AD8F888465CAEAA20FD6FE8856DB388729EAF817152C0986683BF2ABEA8BF4B93A6D7B2105D8173B9242B0EE93A87DB82E63CD0C4CBE7AACEBB4279200CB499A2262691B 2667F728E057E972287E6EE3691AFBACF7E3552E5A48E69302B8EE32E4D95AD36002E339C3F2C5A5092372A780280016EFD91739C85E8C8A38E58AED26DDC0447C5DA" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(716) c:\programme\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2010-01-09 09:39:45 ComboFix-quarantined-files.txt 2010-01-09 08:39 ComboFix2.txt 2010-01-08 06:43 ComboFix3.txt 2010-01-05 03:20 Vor Suchlauf: 25 Verzeichnis(se), 20.052.676.608 Bytes frei Nach Suchlauf: 26 Verzeichnis(se), 20.014.170.112 Bytes frei - - End Of File - - 3E735502C99A1D6D7B7D4CFC6CCE9BFD MBR Log: device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x025429800 PE file found in sector at 0x025429819 ! MbAM Log: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3533 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 10.01.2010 13:07:52 mbam-log-2010-01-10 (13-07-52).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 340951 Laufzeit: 3 hour(s), 21 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\SDFix\dummy.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\SDFix\apps\dummy.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{E8D1CAA5-399A-4AA5-8D9D-EE6595F56D39}\RP1\A0005035.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{E8D1CAA5-399A-4AA5-8D9D-EE6595F56D39}\RP1\A0006131.sys (Malware.Trace) -> Quarantined and deleted successfully. Ich möchte noch erwähnen das ich folgendes schon versucht habe: Ich habe mit einer Boot CD gestartet und dann die Repararturkonsole gestartet daraufhin mit dem Befehl "fixmbr" und dann "fixboot" weitergemacht.doch trotz alledem wurde im MBR log noch die angesprochenen Fehler angezeigt PE found bla bla bla in Sector usw.... Ich warte jetzt erstmal deine Beurteilung ab zwischendurch werde ich dann an dem arbeiten was du mir noch empfohlen hast und dann Bericht erstatten....danke vielmals für deine Hilfe und Unterstützung BERLINOne |
|
| Themen zu Extrem hartnäckiger trojaner. |
| abgesicherten modus, antivir, antivir guard, avira, bho, bonjour, combofix, components, computer, desktop, einfrieren, firefox, fontcache, frage, gigabyte, h8srt, hijack, hijackthis, hilfreich, internet, internet explorer, jusched.exe, launch, mbam log, mozilla, piepton, plug-in, problem, registrierungsschlüssel, scan, schutz, sigcheck, software, sptd.sys, starten, suchlauf, system, tdsskiller, trojaner, windows, windows recovery, windows xp, windows\temp |
Hybrid-Darstellung
