Hier der nächste log....

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-03-08.02 - Aussenminister 09.03.2010  16:09:08.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.697 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Aussenminister\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Aussenminister\Desktop\CFScript.txt

FILE ::
"c:\windows\system32\nqfip.dll"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}
c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\ARPPRODUCTICON.exe
c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GameShadow.exe_D9316813509243FDA4C292F72F483E61.exe
c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GameShadow.exe1_D9316813509243FDA4C292F72F483E61.exe
c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\GSDR.exe_D9316813509243FDA4C292F72F483E61.exe
c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\help.html_D9316813509243FDA4C292F72F483E61.html
c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Microsoft\Installer\{D98C9637-93DA-44DB-B73A-B11A1192AB26}\NewShortcut1_D98C963793DA44DBB73AB11A1192AB26.exe
c:\windows\system32\nqfip.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_npmod
-------\Service_npmod


(((((((((((((((((((((((   Dateien erstellt von 2010-02-09 bis 2010-03-09  ))))))))))))))))))))))))))))))
.

2010-03-09 14:24 . 2010-03-09 14:24	--------	d-----w-	c:\programme\CCleaner
2010-03-07 22:10 . 2010-03-09 14:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-07 22:10 . 2010-03-07 22:14	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-03-07 21:49 . 2010-03-08 22:10	--------	d-----w-	c:\programme\trend micro
2010-03-07 21:49 . 2010-03-07 21:50	--------	d-----w-	C:\rsit
2010-03-07 21:44 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-07 21:44 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-04 15:27 . 2010-03-04 15:27	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Malwarebytes
2010-03-04 15:27 . 2010-03-08 06:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-03-04 15:27 . 2010-03-04 15:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-04 14:58 . 2010-03-04 14:58	52224	----a-w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-03-04 14:58 . 2010-03-04 14:58	117760	----a-w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-03-04 14:58 . 2010-03-04 14:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-03-04 14:58 . 2010-03-04 14:58	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-03-04 14:58 . 2010-03-04 14:58	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\SUPERAntiSpyware.com
2010-03-01 20:26 . 2010-03-01 20:26	--------	d-----w-	c:\windows\ShellNew
2010-03-01 20:26 . 2010-03-01 20:26	--------	d-----w-	c:\programme\AutoIt3
2010-03-01 20:07 . 1994-09-20 23:00	92208	----a-w-	c:\windows\system\Wing.dll
2010-03-01 20:07 . 1994-09-20 23:00	6736	----a-w-	c:\windows\system\Wingdib.drv
2010-03-01 20:07 . 1994-09-20 23:00	12800	----a-w-	c:\windows\system\Wing32.dll
2010-03-01 20:07 . 1994-08-23 23:00	188960	----a-w-	c:\windows\system\Wingde.dll
2010-03-01 17:55 . 2010-03-01 17:55	--------	d-----w-	c:\programme\JoWood
2010-03-01 17:14 . 2010-03-01 17:14	--------	d-----w-	C:\Downloads
2010-02-26 11:24 . 2010-02-26 11:25	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Lokale Einstellungen\Anwendungsdaten\Freelancer
2010-02-23 18:51 . 2010-02-23 18:51	--------	d-----w-	c:\programme\GameShadow

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-09 15:14 . 2009-10-28 20:45	--------	d-----w-	c:\programme\Mozilla Sunbird
2010-03-09 14:08 . 2009-09-14 16:15	1	----a-w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-08 22:46 . 2009-07-27 08:36	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Skype
2010-03-08 15:47 . 2009-12-03 16:20	--------	d-----w-	c:\programme\Yahoo!
2010-03-08 15:29 . 2009-07-26 16:43	19104	----a-w-	c:\dokumente und einstellungen\Aussenminister\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-08 15:22 . 2009-09-20 09:19	--------	d-----w-	c:\programme\SlySoft
2010-03-07 21:02 . 2009-07-27 21:05	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\skypePM
2010-03-04 14:58 . 2009-07-27 12:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-03-01 17:54 . 2009-07-26 16:49	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-02-20 18:35 . 2009-09-03 12:14	--------	d--h--w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\DivX
2010-02-02 19:29 . 2009-07-26 19:56	--------	d--h--w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\ICQ
2010-01-30 15:52 . 2010-01-30 15:50	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Dev-Cpp
2010-01-27 22:22 . 2009-07-26 18:44	--------	d--h--w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Hamachi
2010-01-26 17:50 . 2010-01-26 17:50	17944	---ha-w-	c:\windows\system32\mlfcache.dat
2010-01-26 17:50 . 2009-12-23 13:35	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Apple Computer
2010-01-26 15:02 . 2009-07-26 18:06	189104	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-01-26 14:18 . 2009-07-26 18:06	139584	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-01-21 17:10 . 2010-01-21 17:10	--------	d-----w-	c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\SmartDraw
2010-01-21 16:35 . 2010-01-21 16:35	--------	d-----w-	c:\programme\Sun
2010-01-21 16:34 . 2009-09-08 20:15	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-01-21 16:31 . 2009-09-08 20:15	--------	d-----w-	c:\programme\Java
2009-12-21 15:28 . 2003-04-02 12:00	163644	----a-w-	c:\windows\system32\drivers\secdrv.sys
2009-12-17 21:02 . 2009-07-26 17:08	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\programme\opera\program\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\programme\opera\program\plugins\ssldivx.dll
2006-05-03 09:06 . 2009-12-23 20:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-23 20:06	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-23 20:06	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-03-09_14.36.46   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-09 15:14 . 2010-03-09 15:14	16384              c:\windows\Temp\Perflib_Perfdata_6b4.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 10:58	333192	----a-w-	c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-02-18 2012912]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Aussenminister\Startmen�\Programme\Autostart\
Mozilla Sunbird.lnk - c:\programme\Mozilla Sunbird\sunbird.exe [2009-10-28 6354540]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Aussenminister^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\Aussenminister\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Aussenminister^Startmenü^Programme^Autostart^Registration Ghost Recon Advanced Warfighter® 2.LNK]
path=c:\dokumente und einstellungen\Aussenminister\Startmenü\Programme\Autostart\Registration Ghost Recon Advanced Warfighter® 2.LNK
backup=c:\windows\pss\Registration Ghost Recon Advanced Warfighter® 2.LNKStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Aussenminister^Startmenü^Programme^Autostart^Registration Silent Hunter III.LNK]
path=c:\dokumente und einstellungen\Aussenminister\Startmenü\Programme\Autostart\Registration Silent Hunter III.LNK
backup=c:\windows\pss\Registration Silent Hunter III.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2005-10-28 15:25	94208	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-04-23 13:51	691656	----a-w-	c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33	141600	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-03 22:58	1667584	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44	3883840	----a-w-	c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-07-14 11:34	13877248	----a-w-	c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-07-14 11:34	86016	----a-w-	c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2009-07-08 22:03	1657376	----a-w-	c:\programme\NVIDIA Corporation\nView\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-09-22 08:42	90112	------r-	c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2009-08-20 19:08	2000120	----a-w-	c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Spiele\\Cod4\\iw3mp.exe"=
"d:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"d:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"d:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"d:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"d:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Wippien\\Wippien.exe"=
"d:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=
"d:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [19.09.2009 19:34 5248]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 10:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [17.02.2010 10:15 66632]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [17.02.2010 10:15 12872]
R3 wip0204;Wippien Network Adapter 2.4;c:\windows\system32\drivers\wip0204.sys [04.12.2009 15:53 23480]
S2 npmod;Manager Time;c:\windows\system32\svchost.exe -k netsvcs [02.04.2003 13:00 14336]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [19.09.2009 19:34 160640]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.07.2008 01:27 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.07.2008 01:49 242712]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.09.2009 15:58 721904]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.07.2008 01:27 369688]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
IE: Save YouTube Video - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Mozilla\Firefox\Profiles\knyrug5j.default\
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\Aussenminister\Anwendungsdaten\Mozilla\Firefox\Profiles\knyrug5j.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-09 16:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npmod]
"ServiceDll"="c:\windows\system32\nqfip.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2025429265-1960408961-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:4f,ac,ca,f4,4c,bd,67,93,3f,ea,02,a9,91,40,72,5b,da,4f,c2,f3,02,
   83,5b,ee,d0,80,71,c9,0e,8e,2b,bf,82,3e,0b,47,90,3a,73,c8,ff,3f,d4,0c,7e,e3,\
"rkeysecu"=hex:0c,01,85,43,d9,94,1a,d5,71,29,87,48,26,17,d9,45
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(884)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(520)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-09  16:16:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-03-09 15:16
ComboFix2.txt  2010-03-09 14:38

Vor Suchlauf: 7.503.781.888 Bytes frei
Nach Suchlauf: 7.391.612.928 Bytes frei

- - End Of File - - B8F20F5CC7E02CB02DC1A7B550D56EF2
         

Alles klappt wieder, ich update meine Virenscaner und lasse drüber laufen, aber im Moment gehts.

Sieh mal bitte nach, ob Du einen Ordner c:\Qoobox hast - wenn ja, bitte den zippen und hochladen + hier verlinken => File-Upload.net

File-Upload.net - Qoobox.rar

mein malwarebyte log... zwei Trojaner gefunden:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3840
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

09.03.2010 16:54:52
mbam-log-2010-03-09 (16-54-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 238886
Laufzeit: 33 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4EFE04AD-E53F-41C8-B58C-96E8BD4FD0F2}\RP29\A0010747.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4EFE04AD-E53F-41C8-B58C-96E8BD4FD0F2}\RP29\A0010753.exe (Trojan.Banker) -> Quarantined and deleted successfully.
D:\WC3\worldedit.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
         

Den hier hattest Du => https://www.virustotal.com/de/analis...ec5-1268150153

Schonmal vielen Dank....

Bitte nochmal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
c:\windows\system32\nqfip.dll
c:\windows\Temp\Perflib_Perfdata_6b4.dat

registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npmod

drivers to delete:
npmod
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

File-Upload.net - backup.zip

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\nqfip.dll" not found!
Deletion of file "c:\windows\system32\nqfip.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\Temp\Perflib_Perfdata_6b4.dat" not found!
Deletion of file "c:\windows\Temp\Perflib_Perfdata_6b4.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npmod" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\npmod" not found!
Deletion of driver "npmod" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Gut. Dann mach jetzt mal den Durchlauf mit SUPERAntiSpyware und poste das Log. Vorher aktualisieren!!

argh verdammt! Ich habe das hier erst gerade gelesen , ich dachte "Virus weg und gut ist".... pustekuchen ich habe das Dingen direkt wieder, aber ich denke ich weiß woher! Meine externe Festplatte, das dingen hatte ich vergessen und erst letztens wieder eingestöpselt.


Kann ich jetzt alle hier beschriebenen schritte nochmal machen? Wie bekomme ich diesen Wurm von meiner Festplatte?

Hast Du die ext. Platte nicht mitscannen lassen mit Malwarebytes?

Nein, die hatte ich damals total vergessen und jetzt vor ner Woche dachte ich "ach mal gucken was du da noch so alles drauf hast".... das war eine dummheit!

Tja so ist das. Nachlässigkeit wird wie so oft bestraft

Kann ich denn nun alle anweisungen die du mir gegeben hast nochmal wiederholen oder muss ich da wieder komplett von vorne anfangen?

Malwarebytes und RSIT wären ein guter Anfang