Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Maleware, Trojaner oder sonstwas hartnäckiges

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.01.2010, 10:52   #1
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Böse

Maleware, Trojaner oder sonstwas hartnäckiges



Hallo Forengemeinde,

Zunächst schonmal ein großes Dankeschön an all die freiwilligen Helfer, die sich hier die Mühe machen die PC fremder Leute zu entwurmen. Ihr seit klasse!

Nun zum eigentlichen Problem. Seit Tagen beschäftigt mich ein verseuchter PC. Blöderweise mein verseuchter PC. Ich habe mir einiges eingefangen (Details in den Log-Files) und auch schon einiges selbst beheben können.

Das einzige was noch übrig ist, ist folgendes Problem:
In unregelmäßigen Abständen öffnet sich ein neuer Tab im Firefox (3.5.7), der mich zu irgendwelchen Seiten führt. (Handyortung, oder anderer ) Und genau das muss aufhören. Das nervt. Wo finde ich den Verantwortlichen? - Nein, nicht den Coder. Die verantwortliche Datei. Den Wurm, Trojaner, Hijacker, Whatever.
Denn leider sind sämliche Suchläufe von AV und Malewarebytes ohne Ergebnis. Hin und wieder tauchen Öffnungen in der Windowsfirewall auf, die den Namen "sppourt" tragen.
Vielleicht habt ihr eine Ahnung, was das sein kann, oder welche Software das bereinigen kann.

Vielen Dank,
millennia100

Edit 1:
Nach einigem Suchen hier im Board, bin ich auf eine Google-Anzeige gestoßen, die mich zum Spywar-Doctor geführt hat. Der findet tatsächlich so einiges auf dem Rechner - ist aber nicht frei verfügbar. Gibt es eine Alternative um folgendes zu entfernen?


Gefunden wurden:
  • TrojanProxy.Agent
  • Trojan.Downloader
  • Backdoor.Bot
  • Malware.Trace
  • Hijack.ControlPanelStyle
  • Hijack.Help
  • Stolen.data
  • Rootkit.Agent
Das meiste davon wird mehrmals gelistet.

Hier eine detailierte Auflistung der Dinge, die von Avira Free gefunden wurden:
Code:
ATTFilter
C:\WINDOWS\system32\drivers\tfxwb.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Nixoa.1
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4bcc6d04.qua erstellt ( QUARANTÄNE )
         
...und hier die Funde von Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

18.01.2010 18:32:22
mbam-log-2010-01-18 (18-32-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 223266
Laufzeit: 1 hour(s), 23 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\documents and settings\all users\application data\apple computer\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spservice (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a5bf49a2-94f1-42bd-f434-3604812c807d} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\documents and settings\all users\application data\apple computer\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tfxwb.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\hi.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\dfgdgdfgrgdgfdrdfs.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
         
Hier der aktuelle HjtscanLog:
Code:
ATTFilter
 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

        C:\hiberfil.sys ---------  
        C:\pagefile.sys ---------  
  18.01.2010 21:53      C:\Program Files --------- 0 
  18.01.2010 18:32      C:\WINDOWS --------- 0 
  18.01.2010 12:27      C:\boot.ini --------- 222 
  18.01.2010 08:00      C:\aaw7boot.log --------- 2458 
  17.01.2010 16:35      C:\RECYCLER --------- 0 
  17.01.2010 16:33      C:\cbdll.exe --------- 113893 
  15.01.2010 21:15      C:\Documents and Settings --------- 0 
  15.01.2010 21:15      C:\System Volume Information --------- 0 
  15.01.2010 21:13      C:\MSDOS.SYS --------- 0 
  15.01.2010 21:13      C:\AUTOEXEC.BAT --------- 0 
  15.01.2010 21:13      C:\CONFIG.SYS --------- 0 
  15.01.2010 21:13      C:\IO.SYS --------- 0 
  11.12.2009 23:23      C:\DriverPack_CPU_wnt5_x86-32.ini --------- 459 
  06.02.2009 04:05      C:\DriverPack_Chipset_wnt5_x86-32.ini --------- 1350 
  27.01.2009 09:17      C:\makePNF.exe --------- 20992 
  27.01.2009 09:17      C:\devcon.exe --------- 55808 
  07.01.2009 22:44      C:\DriverPack_MassStorage_wnt5_x86-32.ini --------- 112242 
  28.12.2008 19:46      C:\DriverPack_LAN_wnt5_x86-32.ini --------- 776 
  13.04.2008 22:01      C:\ntldr --------- 250048 
  13.04.2008 20:13      C:\NTDETECT.COM --------- 47564 
  30.03.2008 03:11      C:\D --------- 0 
----------------------------------------

 
C:\WINDOWS

  19.01.2010 10:28     C:\WINDOWS\WindowsUpdate.log --------- 46108 
  19.01.2010 10:22     C:\WINDOWS\0.log --------- 0 
  19.01.2010 10:21     C:\WINDOWS\bootstat.dat --------- 2048 
  19.01.2010 09:53     C:\WINDOWS\SchedLgU.Txt --------- 4212 
  18.01.2010 12:27     C:\WINDOWS\win.ini --------- 92 
  18.01.2010 12:27     C:\WINDOWS\system.ini --------- 227 
  18.01.2010 12:26     C:\WINDOWS\seRapid.INI --------- 1413 
  18.01.2010 12:04     C:\WINDOWS\setupapi.log --------- 845188 
  18.01.2010 11:31     C:\WINDOWS\ie7_main.log --------- 753 
  18.01.2010 10:21     C:\WINDOWS\wiadebug.log --------- 216 
  18.01.2010 08:02     C:\WINDOWS\wiaservc.log --------- 50 
  17.01.2010 19:18     C:\WINDOWS\ntbtlog.txt --------- 2764716 
  17.01.2010 15:01     C:\WINDOWS\chipset.log --------- 1248 
  16.01.2010 11:05     C:\WINDOWS\CMISETUP.INI --------- 92 
  16.01.2010 11:05     C:\WINDOWS\CMCDPLAY.INI --------- 26 
  15.01.2010 22:07     C:\WINDOWS\regopt.log --------- 1662 
  15.01.2010 22:06     C:\WINDOWS\Sti_Trace.log --------- 0 
  15.01.2010 22:02     C:\WINDOWS\setuperr.log --------- 0 
  15.01.2010 21:21     C:\WINDOWS\nsreg.dat --------- 0 
  15.01.2010 21:20     C:\WINDOWS\ativpsrm.bin --------- 0 
  15.01.2010 21:16     C:\WINDOWS\OEWABLog.txt --------- 661 
  15.01.2010 21:15     C:\WINDOWS\setuplog.txt --------- 577963 
  15.01.2010 21:15     C:\WINDOWS\oobeact.log --------- 52 
  15.01.2010 21:15     C:\WINDOWS\REGLOCS.OLD --------- 8192 
  15.01.2010 21:14     C:\WINDOWS\ntdtcsetup.log --------- 8427 
  15.01.2010 21:14     C:\WINDOWS\tsoc.log --------- 9682 
  15.01.2010 21:14     C:\WINDOWS\comsetup.log --------- 16183 
  15.01.2010 21:14     C:\WINDOWS\setupact.log --------- 99661 
  15.01.2010 21:13     C:\WINDOWS\KB976098-v2.log --------- 5147 
  15.01.2010 21:13     C:\WINDOWS\control.ini --------- 0 
  15.01.2010 21:13     C:\WINDOWS\WMSysPr9.prx --------- 316640 
  15.01.2010 21:13     C:\WINDOWS\wmsetup.log --------- 295 
  15.01.2010 21:13     C:\WINDOWS\ODBCINST.INI --------- 4161 
  15.01.2010 21:12     C:\WINDOWS\WindowsShell.Manifest --------- 749 
  15.01.2010 21:12     C:\WINDOWS\bitssetup.log --------- 1880 
  15.01.2010 21:12     C:\WINDOWS\ocgen.log --------- 11445 
  15.01.2010 21:12     C:\WINDOWS\FaxSetup.log --------- 12288 
  15.01.2010 21:11     C:\WINDOWS\vb.ini --------- 36 
  15.01.2010 21:11     C:\WINDOWS\vbaddin.ini --------- 37 
  15.01.2010 21:11     C:\WINDOWS\DtcInstall.log --------- 135 
  15.01.2010 21:11     C:\WINDOWS\sessmgr.setup.log --------- 1022 
  15.01.2010 21:11     C:\WINDOWS\msmqinst.log --------- 10172 
  30.10.2009 18:44     C:\WINDOWS\atiogl.xml --------- 19017 
  14.04.2008 05:40     C:\WINDOWS\SET3.tmp --------- 1296669 
  14.04.2008 05:34     C:\WINDOWS\SET4.tmp --------- 1088840 
  14.04.2008 03:42     C:\WINDOWS\winhlp32.exe --------- 283648 
  14.04.2008 03:42     C:\WINDOWS\regedit.exe --------- 146432 
  14.04.2008 03:42     C:\WINDOWS\NOTEPAD.EXE --------- 69120 
  14.04.2008 03:42     C:\WINDOWS\hh.exe --------- 10752 
  14.04.2008 03:42     C:\WINDOWS\explorer.exe --------- 1033728 
  14.04.2008 03:42     C:\WINDOWS\twain_32.dll --------- 50688 
  02.04.2004 13:31     C:\WINDOWS\Dit.exe --------- 86016 
  24.12.2003 13:25     C:\WINDOWS\ICCLR.INF --------- 573 
  12.12.2003 18:16     C:\WINDOWS\Dit.DLL --------- 245760 
  12.12.2003 18:14     C:\WINDOWS\Dit.INI --------- 266 
  11.07.2003 10:31     C:\WINDOWS\DitExp.exe --------- 61440 
  23.08.2001 12:00     C:\WINDOWS\twunk_16.exe --------- 49680 
  23.08.2001 12:00     C:\WINDOWS\vmmreg32.dll --------- 18944 
  23.08.2001 12:00     C:\WINDOWS\_default.pif --------- 707 
  23.08.2001 12:00     C:\WINDOWS\desktop.ini --------- 2 
  23.08.2001 12:00     C:\WINDOWS\TASKMAN.EXE --------- 15360 
  23.08.2001 12:00     C:\WINDOWS\explorer.scf --------- 80 
  23.08.2001 12:00     C:\WINDOWS\twunk_32.exe --------- 25600 
  23.08.2001 12:00     C:\WINDOWS\msdfmap.ini --------- 1405 
  23.08.2001 12:00     C:\WINDOWS\winhelp.exe --------- 256192 
  23.08.2001 12:00     C:\WINDOWS\twain.dll --------- 94784 
  25.06.1999 09:56     C:\WINDOWS\Unwise.exe --------- 127184 
  17.11.1998 14:44     C:\WINDOWS\IsUn0407.exe --------- 328704 
  02.10.1998 19:00     C:\WINDOWS\IsUninst.exe --------- 327168 
----------------------------------------

 
C:\WINDOWS\System

 18.01.2010 12:26    C:\WINDOWS\System\cmicnfg.ini --------- 330 
 14.04.2008 03:42    C:\WINDOWS\System\WINSPOOL.DRV --------- 146432 
 13.04.2008 20:24    C:\WINDOWS\System\MMSYSTEM.DLL --------- 68768 
 15.10.2003 16:26    C:\WINDOWS\System\SmWizard.exe --------- 1454080 
 14.10.2003 11:52    C:\WINDOWS\System\cmicnfg.cpl --------- 2301952 
 29.04.2002 15:04    C:\WINDOWS\System\cmids3d.dll --------- 917504 
 23.08.2001 12:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000 
 23.08.2001 12:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936 
 23.08.2001 12:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73376 
 23.08.2001 12:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25264 
 23.08.2001 12:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160 
 23.08.2001 12:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109456 
 23.08.2001 12:00    C:\WINDOWS\System\COMMDLG.DLL --------- 32816 
 23.08.2001 12:00    C:\WINDOWS\System\AVICAP.DLL --------- 69584 
 23.08.2001 12:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 126912 
 23.08.2001 12:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944 
 23.08.2001 12:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064 
 23.08.2001 12:00    C:\WINDOWS\System\setup.inf --------- 59167 
 23.08.2001 12:00    C:\WINDOWS\System\SHELL.DLL --------- 5120 
 23.08.2001 12:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152 
 23.08.2001 12:00    C:\WINDOWS\System\SOUND.DRV --------- 1744 
 23.08.2001 12:00    C:\WINDOWS\System\stdole.tlb --------- 5532 
 23.08.2001 12:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360 
 23.08.2001 12:00    C:\WINDOWS\System\TIMER.DRV --------- 4048 
 23.08.2001 12:00    C:\WINDOWS\System\VER.DLL --------- 9008 
 23.08.2001 12:00    C:\WINDOWS\System\VGA.DRV --------- 2176 
 23.08.2001 12:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600 
 23.08.2001 12:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032 
----------------------------------------

 
C:\WINDOWS\System32

 19.01.2010 10:22     C:\WINDOWS\system32\CatRoot2 --------- 0 
 19.01.2010 09:53     C:\WINDOWS\system32\Z-SANService.log --------- 6270976 
 18.01.2010 18:39     C:\WINDOWS\system32\drivers --------- 0 
 18.01.2010 10:06     C:\WINDOWS\system32\DirectX --------- 0 
 18.01.2010 10:06     C:\WINDOWS\system32\temp --------- 0 
 18.01.2010 09:05     C:\WINDOWS\system32\config --------- 0 
 18.01.2010 08:13     C:\WINDOWS\system32\appmgmt --------- 0 
 18.01.2010 08:10     C:\WINDOWS\system32\DRVSTORE --------- 0 
 18.01.2010 08:07     C:\WINDOWS\system32\bdod.bin --------- 81984 
 17.01.2010 16:33     C:\WINDOWS\system32\db --------- 10 
 17.01.2010 16:33     C:\WINDOWS\system32\chkntfsn.exe --------- 167936 
 17.01.2010 15:03     C:\WINDOWS\system32\CatRoot --------- 0 
 17.01.2010 15:01     C:\WINDOWS\system32\ReinstallBackups --------- 0 
 17.01.2010 14:56     C:\WINDOWS\system32\initdebug.nfo --------- 45 
 17.01.2010 09:07     C:\WINDOWS\system32\ZSANCoInstaller.log --------- 13056 
 17.01.2010 08:04     C:\WINDOWS\system32\FNTCACHE.DAT --------- 185016 
 16.01.2010 13:41     C:\WINDOWS\system32\perfh009.dat --------- 389786 
 16.01.2010 13:41     C:\WINDOWS\system32\perfc009.dat --------- 57326 
 16.01.2010 13:41     C:\WINDOWS\system32\PerfStringBackup.INI --------- 453882 
 16.01.2010 13:40     C:\WINDOWS\system32\ZSAN_Install.Log --------- 4880 
 16.01.2010 13:39     C:\WINDOWS\system32\NGRepairLog2B.txt --------- 1980 
 16.01.2010 13:39     C:\WINDOWS\system32\NGRepairLog.txt --------- 1978 
 16.01.2010 06:09     C:\WINDOWS\system32\spool --------- 0 
 15.01.2010 22:03     C:\WINDOWS\system32\pid.PNF --------- 4444 
 15.01.2010 22:00     C:\WINDOWS\system32\scripting --------- 0 
 15.01.2010 22:00     C:\WINDOWS\system32\Setup --------- 0 
 15.01.2010 22:00     C:\WINDOWS\system32\npp --------- 0 
 15.01.2010 21:59     C:\WINDOWS\system32\en --------- 0 
 15.01.2010 21:59     C:\WINDOWS\system32\ras --------- 0 
 15.01.2010 21:59     C:\WINDOWS\system32\icsxml --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\PreInstall --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\mui --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1033 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1042 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\usmt --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1025 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\2052 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1037 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\3076 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1031 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\IME --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1041 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1054 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\1028 --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\3com_dmi --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\ShellExt --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\export --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\dhcp --------- 0 
 15.01.2010 21:58     C:\WINDOWS\system32\wins --------- 0 
 15.01.2010 21:15     C:\WINDOWS\system32\wpa.dbl --------- 2206 
 15.01.2010 21:15     C:\WINDOWS\system32\Microsoft --------- 0 
 15.01.2010 21:14     C:\WINDOWS\system32\$winnt$.inf --------- 1166 
 15.01.2010 21:13     C:\WINDOWS\system32\TZLog.log --------- 3716 
 15.01.2010 21:13     C:\WINDOWS\system32\CONFIG.NT --------- 2577 
 15.01.2010 21:13     C:\WINDOWS\system32\amcompat.tlb --------- 16832 
 15.01.2010 21:13     C:\WINDOWS\system32\nscompat.tlb --------- 23392 
 15.01.2010 21:13     C:\WINDOWS\system32\dllcache --------- 0 
 15.01.2010 21:13     C:\WINDOWS\system32\ias --------- 0 
 15.01.2010 21:12     C:\WINDOWS\system32\logonui.exe.manifest --------- 488 
 15.01.2010 21:12     C:\WINDOWS\system32\WindowsLogon.manifest --------- 488 
 15.01.2010 21:12     C:\WINDOWS\system32\nwc.cpl.manifest --------- 749 
 15.01.2010 21:12     C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749 
 15.01.2010 21:12     C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749 
 15.01.2010 21:12     C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749 
 15.01.2010 21:12     C:\WINDOWS\system32\sapi.cpl.manifest --------- 749 
 15.01.2010 21:12     C:\WINDOWS\system32\Restore --------- 0 
 15.01.2010 21:12     C:\WINDOWS\system32\Macromed --------- 0 
 15.01.2010 21:12     C:\WINDOWS\system32\oobe --------- 0 
 15.01.2010 21:12     C:\WINDOWS\system32\Com --------- 0 
 15.01.2010 21:12     C:\WINDOWS\system32\emptyregdb.dat --------- 21640 
 15.01.2010 21:11     C:\WINDOWS\system32\MsDtc --------- 0 
 15.01.2010 21:11     C:\WINDOWS\system32\wbem --------- 0 
 15.01.2010 21:11     C:\WINDOWS\system32\en-US --------- 0 
 14.12.2009 05:32     C:\WINDOWS\system32\pid.dll --------- 35328 
 14.12.2009 05:32     C:\WINDOWS\system32\dvdplay.exe --------- 55296 
 14.12.2009 05:32     C:\WINDOWS\system32\wzcsapi.dll --------- 52736 
 14.12.2009 05:32     C:\WINDOWS\system32\sprio600.dll --------- 70656 
 14.12.2009 05:32     C:\WINDOWS\system32\dmutil.dll --------- 52224 
 14.12.2009 05:32     C:\WINDOWS\system32\sprio800.dll --------- 72192 
 14.12.2009 05:32     C:\WINDOWS\system32\paqsp.dll --------- 157696 
 14.12.2009 05:32     C:\WINDOWS\system32\mdwmdmsp.dll --------- 147968 
 14.12.2009 05:32     C:\WINDOWS\system32\hid.dll --------- 20992 
 14.12.2009 05:32     C:\WINDOWS\system32\spnike.dll --------- 69632 
 14.12.2009 05:32     C:\WINDOWS\system32\wzcsvc.dll --------- 483840 
 14.12.2009 05:32     C:\WINDOWS\system32\streamci.dll --------- 8192 
 14.12.2009 05:32     C:\WINDOWS\system32\ntkrnlpa.exe --------- 2023936 
 14.12.2009 05:31     C:\WINDOWS\system32\uxtheme.dll --------- 218624 
 14.12.2009 05:31     C:\WINDOWS\system32\sfc_os.dll --------- 140288 
 14.12.2009 05:31     C:\WINDOWS\system32\mmdriver.inf --------- 1435 
 14.12.2009 05:31     C:\WINDOWS\system32\syssetup.dll --------- 990208 
 14.12.2009 05:31     C:\WINDOWS\system32\xpsp4res.dll --------- 2560 
 14.12.2009 05:31     C:\WINDOWS\system32\wshext.dll --------- 90112 
 14.12.2009 05:31     C:\WINDOWS\system32\wscript.exe --------- 155648 
 14.12.2009 05:31     C:\WINDOWS\system32\wshom.ocx --------- 135168 
 14.12.2009 05:31     C:\WINDOWS\system32\wmvcore.dll --------- 2174976 
 14.12.2009 05:31     C:\WINDOWS\system32\win32k.sys --------- 1850624 
 14.12.2009 05:31     C:\WINDOWS\system32\wkssvc.dll --------- 132096 
 14.12.2009 05:31     C:\WINDOWS\system32\winhttp.dll --------- 354816 
 14.12.2009 05:31     C:\WINDOWS\system32\wininet.dll --------- 667136 
 14.12.2009 05:31     C:\WINDOWS\system32\vbscript.dll --------- 430080 
----------------------------------------

 
C:\WINDOWS\Prefetch

 19.01.2010 10:28     C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 13252 
 19.01.2010 10:28     C:\WINDOWS\Prefetch\WINRAR.EXE-24731B5A.pf --------- 28202 
 19.01.2010 10:26     C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 56756 
 19.01.2010 10:26     C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 28844 
 19.01.2010 10:26     C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-28B2F780.pf --------- 54962 
 19.01.2010 10:25     C:\WINDOWS\Prefetch\FIREFOX.EXE-27033287.pf --------- 95932 
 19.01.2010 10:23     C:\WINDOWS\Prefetch\THUNDERBIRD.EXE-20307F3B.pf --------- 82338 
 19.01.2010 10:23     C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 39846 
 19.01.2010 10:23     C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1294138 
 19.01.2010 08:48     C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 14092 
 19.01.2010 08:33     C:\WINDOWS\Prefetch\MMC.EXE-39071BCC.pf --------- 39920 
 19.01.2010 08:33     C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf --------- 70206 
 19.01.2010 08:28     C:\WINDOWS\Prefetch\IEXPLORE.EXE-27122324.pf --------- 117622 
 19.01.2010 08:28     C:\WINDOWS\Prefetch\MSHTA.EXE-331DF029.pf --------- 33408 
 19.01.2010 08:28     C:\WINDOWS\Prefetch\CHIPUTIL325.EXE-2E2A71CC.pf --------- 13834 
 18.01.2010 22:01     C:\WINDOWS\Prefetch\RUNDLL32.EXE-141C5A2D.pf --------- 16366 
 18.01.2010 22:01     C:\WINDOWS\Prefetch\VOLLEY.EXE-3A0B37F7.pf --------- 22408 
 18.01.2010 21:56     C:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf --------- 11760 
 18.01.2010 21:52     C:\WINDOWS\Prefetch\AVSCAN.EXE-2B457B67.pf --------- 48852 
 18.01.2010 21:52     C:\WINDOWS\Prefetch\MBAM.EXE-14F874B0.pf --------- 48508 
 18.01.2010 21:52     C:\WINDOWS\Prefetch\SETUP.EXE-004B3C80.pf --------- 18170 
 18.01.2010 21:52     C:\WINDOWS\Prefetch\FIREFOX%20SETUP%203.5.7[1].EX-38919833.pf --------- 47112 
 18.01.2010 21:48     C:\WINDOWS\Prefetch\AU_.EXE-05904C56.pf --------- 34256 
 18.01.2010 21:48     C:\WINDOWS\Prefetch\HELPER.EXE-30F7EB9E.pf --------- 14926 
 18.01.2010 21:48     C:\WINDOWS\Prefetch\UNINSTALLER.EXE-0EAEF946.pf --------- 14850 
 18.01.2010 21:48     C:\WINDOWS\Prefetch\RUNDLL32.EXE-2CD85FD3.pf --------- 43532 
 18.01.2010 21:45     C:\WINDOWS\Prefetch\SE.EXE-393DEF99.pf --------- 12090 
 18.01.2010 21:45     C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf --------- 67944 
 18.01.2010 21:43     C:\WINDOWS\Prefetch\AVCENTER.EXE-07F060EF.pf --------- 53008 
 18.01.2010 21:36     C:\WINDOWS\Prefetch\Layout.ini --------- 543242 
 18.01.2010 18:54     C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf --------- 85080 
 18.01.2010 18:54     C:\WINDOWS\Prefetch\AVNOTIFY.EXE-1C9A10B7.pf --------- 51564 
 18.01.2010 18:54     C:\WINDOWS\Prefetch\UPDATE.EXE-3010D7EC.pf --------- 47326 
 18.01.2010 18:53     C:\WINDOWS\Prefetch\FOXITR~1.EXE-217A9666.pf --------- 37188 
 18.01.2010 18:32     C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 44056 
 18.01.2010 12:33     C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf --------- 20728 
 18.01.2010 10:11     C:\WINDOWS\Prefetch\CLI.EXE-26C1BC8E.pf --------- 52876 
 18.01.2010 08:13     C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 84822 
 18.01.2010 08:07     C:\WINDOWS\Prefetch\VSSERV.EXE-18F2FAF5.pf --------- 71882 
 18.01.2010 08:07     C:\WINDOWS\Prefetch\LIVESRV.EXE-0013331D.pf --------- 25298 
 18.01.2010 08:05     C:\WINDOWS\Prefetch\UPGREPL.EXE-0CB08047.pf --------- 58360 
 18.01.2010 08:02     C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf --------- 28170 
 17.01.2010 23:05     C:\WINDOWS\Prefetch\CCC.EXE-39E67F5F.pf --------- 86418 
 17.01.2010 20:26     C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf --------- 27704 
 17.01.2010 20:16     C:\WINDOWS\Prefetch\UISCAN.EXE-3367FD9B.pf --------- 132464 
 17.01.2010 16:36     C:\WINDOWS\Prefetch\SETUPX.EXE-0849B8AD.pf --------- 86510 
 17.01.2010 16:36     C:\WINDOWS\Prefetch\IPCLOG.EXE-07BBE401.pf --------- 18264 
 17.01.2010 15:01     C:\WINDOWS\Prefetch\RUNONCE.EXE-2803F297.pf --------- 24640 
 17.01.2010 15:01     C:\WINDOWS\Prefetch\IKERNEL.EXE-078AA887.pf --------- 41104 
 17.01.2010 08:22     C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf --------- 22398 
 16.01.2010 13:41     C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf --------- 75660 
 16.01.2010 12:56     C:\WINDOWS\Prefetch\MSCORSVW.EXE-1BF30400.pf --------- 90344 
 16.01.2010 12:30     C:\WINDOWS\Prefetch\NGEN.EXE-38021CCC.pf --------- 16432 
 16.01.2010 10:28     C:\WINDOWS\Prefetch\REGTLIBV12.EXE-0E2FA54B.pf --------- 9560 
 15.01.2010 21:20     C:\WINDOWS\Prefetch\INSTALLSHELL.EXE-070F5DC4.pf --------- 14072 
----------------------------------------

 
C:\WINDOWS\Tasks

 19.01.2010 10:21     C:\WINDOWS\Tasks\SA.DAT --------- 6 
 18.01.2010 08:04     C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job --------- 394 
 23.08.2001 12:00     C:\WINDOWS\Tasks\desktop.ini --------- 65 
----------------------------------------

 
C:\WINDOWS\Temp

 18.01.2010 10:06     C:\WINDOWS\Temp\DE99B447R3 --------- 48 
 17.01.2010 22:15     C:\WINDOWS\Temp\tmp00004566 --------- 0 
 17.01.2010 19:50     C:\WINDOWS\Temp\piqq.tmp --------- 0 
 17.01.2010 19:34     C:\WINDOWS\Temp\tmp00004a4d --------- 0 
 17.01.2010 19:16     C:\WINDOWS\Temp\tmp00003c38 --------- 0 
 17.01.2010 17:15     C:\WINDOWS\Temp\tmp1.tmp --------- 0 
 17.01.2010 16:34     C:\WINDOWS\Temp\1e635a2ff38db53359bd3e4.tmp --------- 131072 
 17.01.2010 16:34     C:\WINDOWS\Temp\81fa106b31c04c603dc39854.tmp --------- 131072 
 17.01.2010 16:34     C:\WINDOWS\Temp\db485449b0d44bb6a4162f88.tmp --------- 131072 
 17.01.2010 16:34     C:\WINDOWS\Temp\311af965390317116401f759.tmp --------- 131072 
 17.01.2010 15:29     C:\WINDOWS\Temp\tmp00000ee0 --------- 0 
 10.06.2004 13:58     C:\WINDOWS\Temp\ich5core.cat --------- 8143 
 10.06.2004 13:58     C:\WINDOWS\Temp\ich5core.inf --------- 4733 
 09.04.2004 10:17     C:\WINDOWS\Temp\ich5usb.cat --------- 9765 
 09.04.2004 10:16     C:\WINDOWS\Temp\865.CAT --------- 9757 
 09.04.2004 10:16     C:\WINDOWS\Temp\ich5usb.inf --------- 4353 
 09.04.2004 10:15     C:\WINDOWS\Temp\865.INF --------- 4787 
 08.04.2004 10:55     C:\WINDOWS\Temp\ICH6CORE.CAT --------- 8227 
 05.04.2004 15:19     C:\WINDOWS\Temp\ICH6CORE.INF --------- 4824 
----------------------------------------

 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

 19.01.2010 10:28      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hjtscanlist.zip --------- 2097 
 19.01.2010 10:26      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC942.tmp --------- 114688 
 18.01.2010 13:50      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll --------- 192512 
 18.01.2010 13:50      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll --------- 172032 
 18.01.2010 12:26      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF3E23.tmp --------- 114688 
 18.01.2010 09:00      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fontconfig --------- 0 
 17.01.2010 21:11      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MozillaMailnews --------- 0 
 17.01.2010 19:48      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AVSETUP_4b535b3f --------- 0 
 17.01.2010 19:47      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistUI53F8.txt --------- 11486 
 17.01.2010 19:47      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistMSI53F8.txt --------- 516796 
 17.01.2010 19:04      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF3AC5.tmp --------- 114688 
 17.01.2010 19:03      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp000032c7 --------- 0 
 17.01.2010 18:46      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp0000252b --------- 0 
 17.01.2010 18:37      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistUI1E99.txt --------- 11428 
 17.01.2010 18:37      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd_vcredistMSI1E99.txt --------- 1820 
 17.01.2010 17:38      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\443.exe --------- 0 
 17.01.2010 17:38      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uhs87rhjefhs87fhdjfbs37gffd.tmp --------- 4 
 25.01.2006 12:00      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UnInst.exe --------- 15872 
----------------------------------------

 
C:\Program Files

----------------------------------------

 
C:\Documents and Settings\All Users\.. 

Administrator    
LocalService    
NetworkService    
Default User    
All Users    
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1       localhost

----------------------------------------

 

Image Name                   PID Session Name     Session#    Mem Usage
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0        220 K
smss.exe                     592 Console                 0        400 K
csrss.exe                    656 Console                 0      3.620 K
winlogon.exe                 692 Console                 0      2.844 K
services.exe                 736 Console                 0      3.968 K
lsass.exe                    748 Console                 0      2.504 K
ati2evxx.exe                 936 Console                 0      3.276 K
svchost.exe                  956 Console                 0      8.552 K
svchost.exe                 1032 Console                 0      4.444 K
svchost.exe                 1136 Console                 0     18.936 K
svchost.exe                 1208 Console                 0      3.772 K
ati2evxx.exe                1240 Console                 0      3.780 K
svchost.exe                 1432 Console                 0      4.036 K
explorer.exe                1588 Console                 0     16.248 K
spoolsv.exe                 1660 Console                 0      5.340 K
sched.exe                   1744 Console                 0        228 K
avguard.exe                 1784 Console                 0     48.000 K
avgnt.exe                   1960 Console                 0      1.472 K
svchost.exe                 1992 Console                 0      3.432 K
MOM.exe                      116 Console                 0      4.188 K
CCC.exe                      244 Console                 0      5.004 K
LSSrvc.exe                  1128 Console                 0      2.972 K
mdm.exe                     1372 Console                 0      2.876 K
Z-SANService.exe            1800 Console                 0      5.996 K
HiJackThis.exe              3336 Console                 0     10.500 K
firefox.exe                 3468 Console                 0     51.148 K
cmd.exe                     4060 Console                 0      2.712 K
tasklist.exe                1548 Console                 0      4.472 K
wmiprvse.exe                1760 Console                 0      5.988 K

 
***** Ende des Scans 19.01.2010 um 10:28:49,90 ***
         
Hier der aktuelle HijackThis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10:36:53, on 19.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Avira\AntiVir Desktop\sched.exe
G:\Avira\AntiVir Desktop\avguard.exe
G:\Avira\AntiVir Desktop\avgnt.exe
G:\ATI\ATI.ACE\Core-Static\MOM.exe
G:\ATI\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
G:\Netgear\Z-SANService.exe
G:\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe
G:\Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
G:\Thunderbird\thunderbird.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://waspo.de/kanu/j/
O4 - HKLM\..\Run: [StartCCC] "G:\ATI\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "G:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - G:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - G:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Z-SAN Service (Z-SANService) - Zetera Corporation - G:\Netgear\Z-SANService.exe

--
End of file - 2825 bytes
         

Geändert von millennia100 (19.01.2010 um 11:05 Uhr) Grund: neue erkenntnisse

Alt 19.01.2010, 12:08   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Hallo,

wenn Du sicher gehen willst, führt nichts an einer Neuinstallation vorbei
Wir können aber auch weiter analysieren und bereinigen, führ dann erstmal GMER aus und poste das Log!
__________________

__________________

Alt 19.01.2010, 16:42   #3
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Hallo nochmal und Danke für den Tipp mit GMER.
Der erste Versuch ging in die Hose. Ich starte runtergeladene Software immer gleich über die Download-Liste von Firefox. Da ist mein System erstmal abgeschmiert. Aber dafür hat der 2. Versuch mich zu folgenden Informationen gebracht (die ich zwar nicht deuten kann, vielleicht euch aber helfen, mir zu helfen...):

EDIT: Und ich muss dazu sagen, dass Spyware Doctor nun seine Scans auch ohne Funde beendet. Ich habe mir die Lizenz gekauft und alles soweit bereinigen lassen.


Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-19 16:34:41
Windows 5.1.2600 Service Pack 3
Running: 9z4osn51.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwgyaaow.sys


---- System - GMER 1.0.15 ----

SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwCreateKey [0xF7459E52]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwCreateProcess [0xF743ACDE]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwCreateProcessEx [0xF743AED0]
SSDT            AEBAC66C                                                                                                            ZwCreateThread
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwDeleteKey [0xF745A640]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwDeleteValueKey [0xF745A8F4]
SSDT            AEBAC68A                                                                                                            ZwLoadKey
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwOpenKey [0xF7458B44]
SSDT            AEBAC658                                                                                                            ZwOpenProcess
SSDT            AEBAC65D                                                                                                            ZwOpenThread
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwRenameKey [0xF745AD60]
SSDT            AEBAC694                                                                                                            ZwReplaceKey
SSDT            AEBAC68F                                                                                                            ZwRestoreKey
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwSetValueKey [0xF745A112]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                     ZwTerminateProcess [0xF743A984]

---- Kernel code sections - GMER 1.0.15 ----

.rsrc           C:\WINDOWS\system32\drivers\atapi.sys                                                                               entry point in ".rsrc" section [0xF74907A4]
.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                            section is writeable [0xB96EC000, 0x2191E7, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           G:\ATI\ATI.ACE\Core-Static\MOM.exe[256] KERNEL32.dll!LoadLibraryExW + C4                                            7C801BB9 4 Bytes  CALL 038D0001 
.text           G:\ATI\ATI.ACE\Core-Static\ccc.exe[348] KERNEL32.dll!LoadLibraryExW + C4                                            7C801BB9 4 Bytes  CALL 05F50001 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[3340] kernel32.dll!LoadLibraryExW + C4                                        7C801BB9 4 Bytes  CALL 007B0001 

---- Devices - GMER 1.0.15 ----

Device          \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32                                                                   PCTSDInj32.sys

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device           -> \Driver\atapi \Device\Harddisk0\DR0                                                                             89E5D618

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 G:\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x94 0xA4 0x18 0x34 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x08 0xBB 0x23 0xB8 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x7B 0xB9 0x2A 0x3F ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     G:\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x94 0xA4 0x18 0x34 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x08 0xBB 0x23 0xB8 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x7B 0xB9 0x2A 0x3F ...

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\atapi.sys                                                                               suspicious modification

---- EOF - GMER 1.0.15 ----
         
__________________

Geändert von millennia100 (19.01.2010 um 16:43 Uhr) Grund: Spyware Doctor

Alt 19.01.2010, 18:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Zitat:
Ich starte runtergeladene Software immer gleich über die Download-Liste von Firefox.
Das solltest Du Dir schnell abgewöhnen, denn bei manchen Programmen sollten unbedingt alle anderen geschlossen werden - gerade Browser!!

Zitat:
C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
Da wurde die atapi.sys modifiziert, ich denke das bekommen wir mit CF in den Griff, bitte mal anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.01.2010, 19:18   #5
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



OK, bei CCleaner kann ich die Fehler in der Registry nicht endgültig beheben. Es erscheint immer wieder:
Code:
ATTFilter
Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
         
Um hier alles Schritt für Schritt zu machen, will ich das lieber erst gelöst wissen. Ich versuche nochmal einen Viren/Maleware-Scan der Registry, rechne aber mit keinem großen Erfolg, da alles zuvor ohne Befund blieb...


Alt 19.01.2010, 19:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Das ist okay, der stammt von AntiVir und kann nicht gelöscht werden. (Eigentlich hab ich schon beantragt, dass dieser Hinweis mit in die Anleitung vom CCleaner soll, ich hab das schon so oft geschrieben )
__________________
--> Maleware, Trojaner oder sonstwas hartnäckiges

Alt 19.01.2010, 20:30   #7
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Ahhja, Danke für den Tipp, das sollte wirklich irgendwo stehen.
Während der Ausführung von cofi wurde die "Windows File Protection" angezeigt. Und ich habe jetzt den nternet Explorer auf dem Desktop verlinkt, sowie als Standard-Browser. Alles ohne mein zutun.
OK, dann hier also der Log (UIII, ist das viel):

Code:
ATTFilter
ComboFix 10-01-18.03 - Administrator 19.01.2010  20:18:32.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.2559.2172 [GMT 1:00]
ausgeführt von:: c:\documents and settings\Administrator\My Documents\Downloads\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-0159529923-2003568242-468851286-7683
c:\recycler\S-1-5-21-8665528644-5487879351-297380667-2561
c:\windows\system32\msconfig.exe

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 
Kopie von - Kitty ate it :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-19 bis 2010-01-19  ))))))))))))))))))))))))))))))
.

2010-01-19 18:29 . 2010-01-19 18:29	--------	d-----w-	c:\documents and settings\Administrator\Local Settings\Application Data\ChemTable Software
2010-01-19 18:28 . 2010-01-19 18:28	--------	d-----w-	c:\documents and settings\Administrator\Application Data\ChemTable Software
2010-01-19 15:06 . 2004-04-10 08:42	2944	----a-w-	c:\windows\system32\mbmiodrvr.sys
2010-01-19 15:04 . 2010-01-19 15:04	--------	d-----w-	c:\documents and settings\Administrator\Local Settings\Application Data\Downloaded Installations
2010-01-19 14:19 . 2010-01-19 14:19	--------	d-----w-	c:\windows\system32\xircom
2010-01-19 14:19 . 2010-01-19 14:19	--------	d-----w-	c:\windows\system32\wbem\snmp
2010-01-19 14:19 . 2010-01-19 14:19	--------	d-----w-	c:\windows\srchasst
2010-01-19 14:19 . 2010-01-19 14:19	--------	d-----w-	c:\windows\msagent
2010-01-19 14:19 . 2010-01-19 14:19	--------	d-----w-	c:\program files\microsoft frontpage
2010-01-19 09:56 . 2009-11-10 09:26	767952	----a-w-	c:\windows\BDTSupport.dll
2010-01-19 09:56 . 2009-11-10 09:28	149456	----a-w-	c:\windows\SGDetectionTool.dll
2010-01-19 09:56 . 2009-11-10 09:28	165840	----a-w-	c:\windows\PCTBDRes.dll
2010-01-19 09:56 . 2009-11-10 09:28	1640400	----a-w-	c:\windows\PCTBDCore.dll
2010-01-19 09:56 . 2009-10-28 00:36	1152444	----a-w-	c:\windows\UDB.zip
2010-01-19 09:56 . 2008-11-26 11:08	131	----a-w-	c:\windows\IDB.zip
2010-01-19 09:55 . 2009-10-30 10:11	233136	----a-w-	c:\windows\system32\drivers\pctgntdi.sys
2010-01-19 09:55 . 2009-11-09 10:20	207792	----a-w-	c:\windows\system32\drivers\PCTCore.sys
2010-01-19 09:55 . 2009-10-06 15:31	87784	----a-w-	c:\windows\system32\drivers\PCTAppEvent.sys
2010-01-19 09:55 . 2009-09-03 08:45	70408	----a-w-	c:\windows\system32\drivers\pctplsg.sys
2010-01-19 09:55 . 2010-01-19 09:56	--------	d-----w-	c:\program files\Common Files\PC Tools
2010-01-19 09:55 . 2010-01-19 09:55	--------	d-----w-	c:\documents and settings\All Users\Application Data\PC Tools
2010-01-19 09:55 . 2010-01-19 09:55	--------	d-----w-	c:\documents and settings\Administrator\Application Data\PC Tools
2010-01-19 09:54 . 2010-01-19 19:23	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-01-18 11:45 . 2010-01-18 11:45	--------	d-----w-	c:\documents and settings\Administrator\.thumbnails
2010-01-18 11:33 . 2010-01-18 12:15	--------	d-----w-	c:\documents and settings\Administrator\Application Data\gtk-2.0
2010-01-18 11:08 . 2010-01-18 11:08	--------	d-----w-	c:\documents and settings\Administrator\Application Data\EFSoftware
2010-01-18 11:03 . 2004-09-26 11:06	12800	----a-w-	c:\windows\system32\PJLMON.DLL
2010-01-18 09:06 . 2010-01-18 09:06	--------	d-----w-	c:\windows\system32\temp
2010-01-18 09:06 . 2010-01-18 09:06	--------	d-----w-	c:\documents and settings\All Users\Application Data\PassMark
2010-01-18 08:00 . 2010-01-18 12:30	--------	d-----w-	c:\documents and settings\Administrator\.gimp-2.6
2010-01-18 07:52 . 2010-01-18 07:52	--------	d-----w-	c:\documents and settings\Administrator\Application Data\Helios
2010-01-17 22:08 . 2010-01-17 22:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\LightScribe
2010-01-17 22:08 . 2010-01-17 22:08	--------	d-----w-	c:\documents and settings\Administrator\Application Data\Nero
2010-01-17 19:43 . 2004-08-04 00:58	25088	----a-w-	c:\windows\system32\userinit.exe
2010-01-17 19:26 . 2010-01-17 19:26	--------	d-----w-	c:\documents and settings\Administrator\Application Data\Malwarebytes
2010-01-17 19:26 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-17 19:26 . 2010-01-17 19:26	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-17 19:26 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-17 17:58 . 2010-01-17 17:58	388096	----a-r-	c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-17 17:38 . 2010-01-17 17:38	--------	d-s---w-	c:\windows\system32\config\systemprofile\UserData
2010-01-17 17:38 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-01-17 17:38 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-01-17 17:38 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-01-17 17:38 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-01-17 17:38 . 2010-01-17 17:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-01-17 16:48 . 2010-01-17 16:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft
2010-01-17 16:05 . 2010-01-17 16:47	3675848	-c--a-w-	c:\documents and settings\All Users\Application Data\{BB36BADD-522D-4988-B24C-0D9C7F8078A1}\Download Guard for Internet Explorer.exe
2010-01-17 16:05 . 2010-01-17 16:05	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{BB36BADD-522D-4988-B24C-0D9C7F8078A1}
2010-01-17 16:03 . 2010-01-18 07:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2010-01-17 15:45 . 2010-01-17 15:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Nero
2010-01-17 15:45 . 2010-01-17 16:04	--------	d-----w-	c:\program files\Common Files\Nero
2010-01-17 15:44 . 2010-01-17 15:44	--------	d-----w-	c:\program files\Common Files\LightScribe
2010-01-17 15:33 . 2010-01-17 15:33	113893	--sh--w-	C:\cbdll.exe
2010-01-17 15:33 . 2010-01-17 15:33	167936	----a-w-	c:\windows\system32\chkntfsn.exe
2010-01-17 13:59 . 1998-10-02 18:00	327168	----a-w-	c:\windows\IsUninst.exe
2010-01-17 13:56 . 2010-01-17 13:56	--------	d-----w-	c:\program files\MSI
2010-01-17 08:15 . 2010-01-17 08:15	--------	d-----w-	c:\documents and settings\Administrator\Application Data\Foxit
2010-01-17 08:05 . 1999-06-25 08:56	127184	----a-w-	c:\windows\Unwise.exe
2010-01-17 08:05 . 2010-01-17 08:05	--------	d-----w-	c:\program files\X10 Hardware
2010-01-17 08:05 . 2010-01-17 08:05	--------	d-----w-	c:\program files\Common Files\X10
2010-01-17 08:04 . 2004-02-06 12:55	465408	----a-w-	c:\windows\system32\CatchSwitchForXP.exe
2010-01-17 08:04 . 2010-01-17 08:04	--------	d-----w-	c:\program files\Common Files\Borland Shared
2010-01-17 08:04 . 2004-02-07 11:30	460288	----a-w-	c:\windows\system32\WbLogon.dll
2010-01-17 08:04 . 2003-06-26 10:25	45056	----a-w-	c:\windows\system32\GetOSVer.dll
2010-01-17 08:04 . 2002-05-22 14:47	139776	----a-w-	c:\windows\system32\WbHook.dll
2010-01-17 08:04 . 2002-05-20 14:42	651264	----a-w-	c:\windows\system32\WbKeyCenter.dll
2010-01-17 08:04 . 2002-05-20 14:40	106496	----a-w-	c:\windows\system32\GSM.DLL
2010-01-16 20:26 . 1998-11-17 13:44	328704	----a-w-	c:\windows\IsUn0407.exe
2010-01-16 13:43 . 2004-08-18 08:34	442368	----a-r-	c:\windows\system32\vp6vfw.dll
2010-01-16 13:21 . 2010-01-16 13:22	--------	d-----w-	c:\documents and settings\Administrator\Application Data\TigerPlayer
2010-01-16 13:20 . 2010-01-18 17:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple Computer
2010-01-16 12:55 . 2010-01-17 15:42	13440	----a-w-	c:\windows\system32\drivers\USBCRFT.SYS
2010-01-16 12:55 . 2004-04-02 12:31	86016	----a-w-	c:\windows\Dit.exe
2010-01-16 12:55 . 2003-12-12 17:16	245760	------w-	c:\windows\Dit.DLL
2010-01-16 12:55 . 2003-07-11 09:31	61440	----a-w-	c:\windows\DitExp.exe
2010-01-16 12:51 . 2006-10-26 18:58	30512	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-01-16 12:51 . 2006-10-26 18:58	30512	----a-w-	c:\windows\system32\mdimon.dll
2010-01-16 12:50 . 2010-01-16 12:50	--------	d-----w-	c:\program files\Microsoft Works
2010-01-16 12:50 . 2010-01-16 12:50	--------	d-----w-	c:\program files\Microsoft.NET
2010-01-16 12:47 . 2010-01-16 12:48	--------	d-----w-	c:\windows\SHELLNEW
2010-01-16 12:47 . 2010-01-16 12:47	--------	d-----w-	c:\documents and settings\Administrator\Local Settings\Application Data\Microsoft Help
2010-01-16 12:47 . 2010-01-16 12:51	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-16 12:40 . 2007-08-14 20:29	345984	----a-w-	c:\windows\system32\drivers\sfsz.sys
2010-01-16 12:40 . 2007-08-08 18:57	15488	----a-w-	c:\windows\system32\drivers\ZetBus.sys
2010-01-16 12:40 . 2007-08-08 18:57	12800	----a-w-	c:\windows\system32\drivers\ZetSFD.sys
2010-01-16 12:40 . 2007-08-08 18:57	5120	----a-w-	c:\windows\system32\drivers\ZetMPD.sys
2010-01-16 12:40 . 2007-08-08 18:55	163927	----a-w-	c:\windows\system32\ZSANCoInst.dll
2010-01-16 11:10 . 2010-01-16 11:10	--------	d-----w-	c:\windows\Logs
2010-01-16 10:43 . 2010-01-16 10:43	--------	d-----w-	c:\program files\Intel
2010-01-16 10:43 . 2010-01-17 08:04	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-01-16 10:21 . 2010-01-16 12:43	--------	d-----w-	c:\documents and settings\Administrator\Application Data\DAEMON Tools Lite
2010-01-16 10:21 . 2010-01-16 10:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-01-16 10:19 . 2010-01-16 10:19	--------	d-----w-	c:\documents and settings\Administrator\Local Settings\Application Data\Thunderbird
2010-01-16 10:19 . 2010-01-16 10:19	--------	d-----w-	c:\documents and settings\Administrator\Application Data\Thunderbird
2010-01-16 10:10 . 2010-01-18 07:07	81984	----a-w-	c:\windows\system32\bdod.bin
2010-01-16 10:08 . 2010-01-17 06:42	43752	----a-w-	c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-16 10:08 . 2010-01-16 10:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\ATI
2010-01-16 10:08 . 2010-01-16 10:08	--------	d-----w-	c:\documents and settings\Administrator\Local Settings\Application Data\ATI
2010-01-16 10:08 . 2010-01-16 10:08	--------	d-----w-	c:\documents and settings\Administrator\Application Data\ATI
2010-01-16 10:03 . 2010-01-16 10:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\BitDefender
2010-01-16 10:02 . 2010-01-18 07:07	--------	d-----w-	c:\program files\Common Files\BitDefender
2010-01-16 09:53 . 2008-04-14 05:09	5504	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2010-01-16 09:53 . 2008-04-14 05:16	10880	----a-w-	c:\windows\system32\drivers\NdisIP.sys
2010-01-16 09:53 . 2008-04-14 05:16	15232	----a-w-	c:\windows\system32\drivers\StreamIP.sys
2010-01-16 09:53 . 2008-04-14 05:16	11136	----a-w-	c:\windows\system32\drivers\SLIP.sys
2010-01-16 09:53 . 2008-04-14 05:16	19200	----a-w-	c:\windows\system32\drivers\WSTCODEC.SYS
2010-01-16 09:52 . 2008-04-14 05:16	85248	----a-w-	c:\windows\system32\drivers\NABTSFEC.sys
2010-01-16 09:52 . 2008-04-14 05:16	17024	----a-w-	c:\windows\system32\drivers\CCDECODE.sys
2010-01-16 09:52 . 2008-04-14 05:09	7552	----a-w-	c:\windows\system32\drivers\MSKSSRV.sys
2010-01-16 09:52 . 2008-04-14 05:09	4992	----a-w-	c:\windows\system32\drivers\MSPQM.sys
2010-01-16 09:52 . 2008-04-14 05:09	5376	----a-w-	c:\windows\system32\drivers\MSPCLOCK.sys
2010-01-16 09:52 . 2008-04-14 10:42	53760	----a-w-	c:\windows\system32\vfwwdm32.dll
2010-01-16 09:52 . 2008-04-14 10:41	4096	----a-w-	c:\windows\system32\ksuser.dll
2010-01-16 09:50 . 2010-01-16 10:43	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-01-15 21:07 . 2001-08-17 19:59	3072	----a-w-	c:\windows\system32\drivers\audstub.sys
2010-01-15 21:06 . 2008-04-14 11:41	21504	----a-w-	c:\windows\system32\hidserv.dll
2010-01-15 21:06 . 2008-04-14 06:10	57600	----a-w-	c:\windows\system32\drivers\redbook.sys
2010-01-15 21:05 . 2001-08-17 19:46	6400	----a-w-	c:\windows\system32\drivers\enum1394.sys
2010-01-15 21:05 . 2008-04-14 10:42	74240	----a-w-	c:\windows\system32\usbui.dll
2010-01-15 21:05 . 2008-04-14 05:06	42368	----a-w-	c:\windows\system32\drivers\AGP440.SYS
2010-01-15 21:02 . 2010-01-19 19:24	--------	d-----w-	c:\windows\system32\CatRoot2
2010-01-15 21:02 . 2010-01-17 14:03	--------	d-----w-	c:\windows\system32\CatRoot
2010-01-15 21:02 . 2009-01-27 08:17	55808	----a-w-	C:\devcon.exe
2010-01-15 21:02 . 2009-01-27 08:17	20992	----a-w-	C:\makePNF.exe
2010-01-15 21:02 . 2008-09-22 08:41	43520	----a-w-	c:\windows\system32\drivers\fetnd5bv.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-16 10:05 . 2010-01-16 10:05	--------	d-----w-	c:\program files\C-Media
2010-01-15 20:21 . 2010-01-15 20:21	0	----a-w-	c:\windows\nsreg.dat
2010-01-15 20:20 . 2010-01-15 20:20	0	----a-w-	c:\windows\ativpsrm.bin
2010-01-15 20:19 . 2010-01-15 20:19	10134	----a-r-	c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{A778A787-08A4-4089-CB68-02A9737DE532}\ARPPRODUCTICON.exe
2010-01-15 20:19 . 2010-01-15 20:19	--------	d-----w-	c:\program files\ATI
2010-01-15 20:12 . 2010-01-15 20:12	21640	----a-w-	c:\windows\system32\emptyregdb.dat
2009-12-14 04:31 . 2009-12-14 04:31	361600	----a-w-	c:\windows\system32\drivers\tcpip.sys
2009-12-14 04:30 . 2009-12-14 04:30	248	----a-w-	c:\windows\system32\nlite.cmd
2009-12-14 04:27 . 2009-12-14 04:27	3186	----a-w-	c:\windows\system32\presetup.cmd
2009-12-14 04:27 . 2009-12-14 04:27	28672	----a-w-	c:\windows\system32\setupold.exe
2009-11-25 03:50 . 2010-01-15 20:19	4463104	----a-w-	c:\windows\system32\drivers\ati2mtag.sys
2009-11-25 03:27 . 2010-01-15 20:19	446464	----a-w-	c:\windows\system32\ATIDEMGX.dll
2009-11-25 03:26 . 2010-01-15 20:19	300032	----a-w-	c:\windows\system32\ati2dvag.dll
2009-11-25 03:11 . 2010-01-15 20:19	208896	----a-w-	c:\windows\system32\atipdlxx.dll
2009-11-25 03:11 . 2010-01-15 20:19	155648	----a-w-	c:\windows\system32\Oemdspif.dll
2009-11-25 03:10 . 2010-01-15 20:19	26112	----a-w-	c:\windows\system32\Ati2mdxx.exe
2009-11-25 03:10 . 2010-01-15 20:19	43520	----a-w-	c:\windows\system32\ati2edxx.dll
2009-11-25 03:10 . 2010-01-15 20:19	155648	----a-w-	c:\windows\system32\ati2evxx.dll
2009-11-25 03:09 . 2010-01-15 20:19	602112	----a-w-	c:\windows\system32\ati2evxx.exe
2009-11-25 03:07 . 2010-01-15 20:19	53248	----a-w-	c:\windows\system32\ATIDDC.DLL
2009-11-25 02:59 . 2010-01-15 20:19	311296	----a-w-	c:\windows\system32\atiiiexx.dll
2009-11-25 02:59 . 2010-01-15 20:19	3538496	----a-w-	c:\windows\system32\ati3duag.dll
2009-11-25 02:44 . 2010-01-15 20:19	13533184	----a-w-	c:\windows\system32\atioglxx.dll
2009-11-25 02:43 . 2010-01-15 20:19	2142848	----a-w-	c:\windows\system32\ativvaxx.dll
2009-11-25 02:42 . 2010-01-15 20:19	887724	----a-w-	c:\windows\system32\ativva6x.dat
2009-11-25 02:42 . 2010-01-15 20:19	3	----a-w-	c:\windows\system32\ativva5x.dat
2009-11-25 02:26 . 2010-01-15 20:19	65024	----a-w-	c:\windows\system32\atimpc32.dll
2009-11-25 02:26 . 2010-01-15 20:19	65024	----a-w-	c:\windows\system32\amdpcom32.dll
2009-11-25 02:21 . 2010-01-15 20:19	565248	----a-w-	c:\windows\system32\atikvmag.dll
2009-11-25 02:20 . 2010-01-15 20:19	45056	----a-w-	c:\windows\system32\aticalrt.dll
2009-11-25 02:20 . 2010-01-15 20:19	45056	----a-w-	c:\windows\system32\aticalcl.dll
2009-11-25 02:19 . 2010-01-15 20:19	176128	----a-w-	c:\windows\system32\atiadlxx.dll
2009-11-25 02:18 . 2010-01-15 20:19	17408	----a-w-	c:\windows\system32\atitvo32.dll
2009-11-25 02:18 . 2010-01-15 20:19	3612672	----a-w-	c:\windows\system32\aticaldd.dll
2009-11-25 02:18 . 2010-01-15 20:19	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2009-11-25 02:17 . 2010-01-15 20:19	397312	----a-w-	c:\windows\system32\atiok3x2.dll
2009-11-25 02:12 . 2010-01-15 20:19	638976	----a-w-	c:\windows\system32\ati2cqag.dll
2009-10-22 15:59 . 2010-01-15 20:19	196565	----a-w-	c:\windows\system32\atiicdxx.dat
.

------- Sigcheck -------

[-] 2009-12-14 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-08-04 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe



c:\windows\System32\wscntfy.exe ... Fehlt !!
c:\windows\System32\regsvc.dll ... Fehlt !!
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="g:\ati\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"avgnt"="g:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2008-04-14 99840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^PC Alert 4.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\PC Alert 4.lnk
backup=c:\windows\pss\PC Alert 4.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:42	15360	------w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57	369200	----a-w-	g:\daemon tools lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2004-04-02 12:31	86016	----a-w-	c:\windows\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2009-08-20 12:25	2363392	----a-w-	c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"odserv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [19.01.2010 10:55 207792]
R2 AntiVirSchedulerService;Avira AntiVir Planer;g:\avira\AntiVir Desktop\sched.exe [17.01.2010 18:38 108289]
R2 Browser Defender Update Service;Browser Defender Update Service;g:\spyware doctor\BDT\BDTUpdateService.exe [19.01.2010 10:56 112592]
R2 SFSZ;DataPlow SFS for Zetera Storage Devices;c:\windows\system32\drivers\sfsz.sys [16.01.2010 13:40 345984]
R2 Z-SANService;Z-SAN Service;g:\netgear\Z-SANService.exe [16.01.2010 13:40 376891]
R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [16.01.2010 13:55 13440]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [29.09.2004 20:26 24704]
R3 ZetBus;Zetera Virtual Bus;c:\windows\system32\drivers\ZetBus.sys [16.01.2010 13:40 15488]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S0 tfxwb;tfxwb; [x]
S0 ZetSFD;ZetSFD;c:\windows\system32\drivers\ZetSFD.sys [16.01.2010 13:40 12800]
S3 sdAuxService;PC Tools Auxiliary Service;g:\spyware doctor\pctsAuxs.exe [19.01.2010 10:55 359624]
S3 ZetMPD;ZetMPD;c:\windows\system32\drivers\ZetMPD.sys [16.01.2010 13:40 5120]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://waspo.de/kanu/j/
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\c9ck1axm.default\
FF - plugin: g:\firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: g:\mpcstar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: g:\mpcstar\Codecs\Real\browser\plugins\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-12CFG214-K641-12SF-N85P - c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
MSConfigStartUp-Calc32 - c:\windows\system32\regedit.exe
MSConfigStartUp-cbdll - c:\documents and settings\Administrator\Desktop\WindowsApplication2.exe
MSConfigStartUp-ewindll - C:\allwin.exe
MSConfigStartUp-Microsoft Driver Setup - c:\windows\ccdrive32.exe
MSConfigStartUp-Regedit32 - c:\windows\system32\regedit.exe
MSConfigStartUp-WinsysMon - c:\documents and settings\Administrator\Desktop\googledownload.exe
MSConfigStartUp-ygua8e7yhuiesfha876yfauy8fe - c:\docume~1\ADMINI~1\LOCALS~1\Temp\no2fz7uke.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-19 20:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
g:\avira\AntiVir Desktop\avguard.exe
g:\ati\ATI.ACE\Core-Static\MOM.exe
g:\ati\ATI.ACE\Core-Static\ccc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-19  20:26:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-19 19:26

Vor Suchlauf: 8.651.866.112 bytes free
Nach Suchlauf: 8.629.956.608 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin /noguiboot

- - End Of File - - 0718E1A65B2B416CE7F5B0393806958D
         

Alt 19.01.2010, 20:36   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Zitat:
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
Bzgl der infizierten atapi.sys lag ich richtig und CF konnte sie durch eine Originalversion ersetzen

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete;
C:\cbdll.exe
c:\windows\system32\chkntfsn.exe

drivers to delete:
tfxwb
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.01.2010, 10:05   #9
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



OK, so weit, so gut.
Allerdings habe dein Script berichtigen müssen, daher im Log die beiden ersten Fehlversuche. ";" vs. ":"
Der erste Bootvorgang brach mit einem Bluescreen ab, der zweite war dann erfolgreich. Beim Laden der Oberfläche erhalte ich jetzt diese Fehlermeldung mit Eingabeaufforderung:


Also wieder ein Log:
Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 20 09:50:45 2010

09:50:45: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 20 09:51:26 2010

09:51:26: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\cbdll.exe" deleted successfully.
File "c:\windows\system32\chkntfsn.exe" deleted successfully.
Driver "tfxwb" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Und die backup.zip.

Alt 20.01.2010, 10:28   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Ups
Sry für den Tippfehler

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (20.01.2010 um 10:39 Uhr)

Alt 20.01.2010, 10:30   #11
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Ist echt kein Problem, ich bin so froh, das mir hier geholfen wird...
Außerdem kann ich lesen und das Script Tutorial ist da sehr eindeutig.

Edit: Ich musste gerade feststelle, dass sich in meinem Startmenü etwas verändert hat: neu hinzugekommen sind "My Network Places" und "My Music", aus den Ausklappmenüs "Control Panel" und "My Computer" wurden Verknüpfungen.

Geändert von millennia100 (20.01.2010 um 10:41 Uhr)

Alt 20.01.2010, 10:46   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Das mit den verknüpfungen ist erstmal nicht wichtig, mich interessiert der Kontrollscan
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.01.2010, 10:54   #13
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



von welchem Programm?
Jetzt hab ich einiges zur Auswahl:
  • Avenger
  • ComboFix
  • GMER
  • Avira Free
  • Spyware Doctor
  • Malewarebytes

Alt 20.01.2010, 11:04   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



Malwarebytes meinte ich!

Zitat:
Zitat von cosinus Beitrag anzeigen
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.01.2010, 14:25   #15
millennia100
 
Maleware, Trojaner oder sonstwas hartnäckiges - Standard

Maleware, Trojaner oder sonstwas hartnäckiges



So, einmal Malwarebytes. Da der Spyware Doctor beim letzten Einsatz mehr gefunden hatte, werde ich auch da gerade nochmal einen Kompletten Test starten. Ansonsten gab es keine Funde bislang.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3584
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.01.2010 14:22:09
mbam-log-2010-01-20 (14-22-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 221899
Laufzeit: 1 hour(s), 7 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Hier Teil 1 des Logs von Spyware Doctor (Zeichenbeschränkung 75000):
Code:
ATTFilter
20.01.2010 14:24:19:953 	
Service gestartet
Serviceanwendung von Spyware Doctor gestartet
20.01.2010 14:24:19:953 	
Anti-Malware-Modul
Die Konfiguration des Anti-Malware-Moduls wurde erfolgreich geladen.
20.01.2010 14:24:20:46 	
IntelliGuard-Status
Alle IntelliGuards aktiviert
20.01.2010 14:24:25:734 	
Immunizer-Ergebnisse
ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet.
20.01.2010 14:24:52:203 	
Scan gestartet
Scan-Art - Intelli-Scan
20.01.2010 14:25:24:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
20.01.2010 14:25:24:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir
20.01.2010 14:25:24:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
20.01.2010 14:25:24:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot
20.01.2010 14:25:24:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, WinSock_Registry_Version
20.01.2010 14:25:24:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, Current_NameSpace_Catalog
20.01.2010 14:25:24:406 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters, Current_Protocol_Catalog
20.01.2010 14:25:24:406 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5, Num_Catalog_Entries
20.01.2010 14:25:24:406 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5, Serial_Access_Num
20.01.2010 14:25:24:406 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, LibraryPath
20.01.2010 14:25:24:421 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, DisplayString
20.01.2010 14:25:24:421 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, ProviderId
20.01.2010 14:25:24:421 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, SupportedNameSpace
20.01.2010 14:25:24:421 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, Enabled
20.01.2010 14:25:24:421 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, Version
20.01.2010 14:25:24:437 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001, StoresServiceClassInfo
20.01.2010 14:25:24:437 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001
20.01.2010 14:25:24:437 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, LibraryPath
20.01.2010 14:25:24:437 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, DisplayString
20.01.2010 14:25:24:437 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, ProviderId
20.01.2010 14:25:24:453 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, SupportedNameSpace
20.01.2010 14:25:24:453 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, Enabled
20.01.2010 14:25:24:453 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, Version
20.01.2010 14:25:24:453 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002, StoresServiceClassInfo
20.01.2010 14:25:24:453 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002
20.01.2010 14:25:24:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, LibraryPath
20.01.2010 14:25:24:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, DisplayString
20.01.2010 14:25:24:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, ProviderId
20.01.2010 14:25:24:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, SupportedNameSpace
20.01.2010 14:25:24:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, Enabled
20.01.2010 14:25:24:484 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, Version
20.01.2010 14:25:24:484 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003, StoresServiceClassInfo
20.01.2010 14:25:24:484 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003
20.01.2010 14:25:24:484 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries
20.01.2010 14:25:24:484 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5
20.01.2010 14:25:24:500 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Num_Catalog_Entries
20.01.2010 14:25:24:500 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Next_Catalog_Entry_ID
20.01.2010 14:25:24:500 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9, Serial_Access_Num
20.01.2010 14:25:24:500
         

Geändert von millennia100 (20.01.2010 um 14:32 Uhr) Grund: Spy Doc

Antwort

Themen zu Maleware, Trojaner oder sonstwas hartnäckiges
.com, 8.tmp, ad-aware, administrator, antivir, antivir guard, avira, c:\hiberfil.sys, cache.dat, computer, cpu, desktop.ini, drvstore, explorer, firefox, hiberfil.sys, hkus\s-1-5-18, lan, log-files, logfile, logon.exe, maleware, malwarebytes' anti-malware, netgear, neuer tab, nicht gefunden, notepad.exe, quelldatei, registrierungsschlüssel, rundll, seiten, software, svchost, system, taskman, temp, trojaner, twain.dll, twunk_32.exe, warnung, win32k.sys, windows xp, winhelp.exe, wscript.exe, öffnet




Ähnliche Themen: Maleware, Trojaner oder sonstwas hartnäckiges


  1. Vermutlich Maleware oder Trojaner auf Macbook
    Alles rund um Mac OSX & Linux - 22.12.2014 (17)
  2. Ständiger befall von viren oder maleware
    Log-Analyse und Auswertung - 23.10.2013 (43)
  3. Komischer Maleware oder Spyware fall
    Plagegeister aller Art und deren Bekämpfung - 24.05.2013 (17)
  4. Spyhunter 4, Maleware oder Maleware Security Suite?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (5)
  5. Google spinnt bei mir! Tojaner oder Maleware, weiss ich nicht x_x
    Plagegeister aller Art und deren Bekämpfung - 31.05.2011 (16)
  6. windows fehler oder maleware ?
    Alles rund um Windows - 07.05.2011 (1)
  7. Hartnäckiges Problem mit Silentbanker
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (2)
  8. Maleware? oder Fehlalarm wegen Windows 7
    Log-Analyse und Auswertung - 26.09.2009 (1)
  9. Eine Bitte um Systemüberprüfung (Viren, oder Spuren von Maleware ausmachbar?)
    Log-Analyse und Auswertung - 16.06.2009 (0)
  10. Hartnäckiges Explorerverhalten (Trojaner?)
    Log-Analyse und Auswertung - 25.07.2008 (29)
  11. Vundo.Gen: hartnäckiges Teil
    Plagegeister aller Art und deren Bekämpfung - 28.11.2007 (1)
  12. hartnäckiges eraseme-Problem
    Log-Analyse und Auswertung - 12.07.2006 (4)
  13. Hartnäckiges Teil
    Log-Analyse und Auswertung - 18.03.2006 (2)
  14. Habe ich einen IRC Virus, Trojaner, oder sonstwas?
    Plagegeister aller Art und deren Bekämpfung - 12.03.2006 (13)
  15. hartnäckiges Problem
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (7)
  16. extrem hartnäckiges teil
    Plagegeister aller Art und deren Bekämpfung - 01.05.2005 (3)
  17. se.dll.... hartnäckiges kleines Mistding!!!
    Log-Analyse und Auswertung - 19.04.2005 (10)

Zum Thema Maleware, Trojaner oder sonstwas hartnäckiges - Hallo Forengemeinde, Zunächst schonmal ein großes Dankeschön an all die freiwilligen Helfer, die sich hier die Mühe machen die PC fremder Leute zu entwurmen. Ihr seit klasse! Nun zum eigentlichen - Maleware, Trojaner oder sonstwas hartnäckiges...

Alle Zeitangaben in WEZ +1. Es ist jetzt 02:31 Uhr.


Copyright ©2000-2024, Trojaner-Board
Archiv
Du betrachtest: Maleware, Trojaner oder sonstwas hartnäckiges auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.