Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll

know2010 · 29.07.2010, 18:11

So, ich habe alles ausgeführt, wie Du es vorgeschlagen hast, Markus. Das Ergebnis siehe selbst:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. Juli 2010 18:20

Es wird nach 2656604 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : Ivonne Hamza
Computername : IVONNEHAMZA-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:45:45
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:45:59
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 15:46:25
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 15:46:25
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 15:46:25
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 15:46:25
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 15:46:25
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 15:46:26
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 15:46:27
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 15:46:32
VBASE015.VDF : 7.10.10.0 2048 Bytes 29.07.2010 15:46:32
VBASE016.VDF : 7.10.10.1 2048 Bytes 29.07.2010 15:46:32
VBASE017.VDF : 7.10.10.2 2048 Bytes 29.07.2010 15:46:32
VBASE018.VDF : 7.10.10.3 2048 Bytes 29.07.2010 15:46:32
VBASE019.VDF : 7.10.10.4 2048 Bytes 29.07.2010 15:46:33
VBASE020.VDF : 7.10.10.5 2048 Bytes 29.07.2010 15:46:33
VBASE021.VDF : 7.10.10.6 2048 Bytes 29.07.2010 15:46:33
VBASE022.VDF : 7.10.10.7 2048 Bytes 29.07.2010 15:46:33
VBASE023.VDF : 7.10.10.8 2048 Bytes 29.07.2010 15:46:33
VBASE024.VDF : 7.10.10.9 2048 Bytes 29.07.2010 15:46:33
VBASE025.VDF : 7.10.10.10 2048 Bytes 29.07.2010 15:46:33
VBASE026.VDF : 7.10.10.11 2048 Bytes 29.07.2010 15:46:33
VBASE027.VDF : 7.10.10.12 2048 Bytes 29.07.2010 15:46:33
VBASE028.VDF : 7.10.10.13 2048 Bytes 29.07.2010 15:46:33
VBASE029.VDF : 7.10.10.14 2048 Bytes 29.07.2010 15:46:33
VBASE030.VDF : 7.10.10.15 2048 Bytes 29.07.2010 15:46:34
VBASE031.VDF : 7.10.10.17 20992 Bytes 29.07.2010 15:46:34
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 29.07.2010 15:46:53
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 29.07.2010 15:46:52
AESCN.DLL : 8.1.6.1 127347 Bytes 29.07.2010 15:46:50
AESBX.DLL : 8.1.3.1 254324 Bytes 29.07.2010 15:46:53
AERDL.DLL : 8.1.8.2 614772 Bytes 29.07.2010 15:46:50
AEPACK.DLL : 8.2.3.2 471414 Bytes 29.07.2010 15:46:48
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 29.07.2010 15:46:46
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 29.07.2010 15:46:45
AEHELP.DLL : 8.1.13.2 242039 Bytes 29.07.2010 15:46:39
AEGEN.DLL : 8.1.3.17 385396 Bytes 29.07.2010 15:46:38
AEEMU.DLL : 8.1.2.0 393588 Bytes 29.07.2010 15:46:37
AECORE.DLL : 8.1.16.2 192887 Bytes 29.07.2010 15:46:36
AEBB.DLL : 8.1.1.0 53618 Bytes 29.07.2010 15:46:36
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, A:, G:, F:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 29. Juli 2010 18:20

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbucoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '470' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\Users\Ivonne Hamza\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
Beginne mit der Suche in 'D:\' <XP>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\Ivonne Hamza\AppData\Roaming\cttele32U.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.119808
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

markusg · 29.07.2010, 18:52

start, suchen (ausführen) schreibe editor, enter
dort kopiere rein

Killall::
Rootkit::
C:\Users\Ivonne Hamza\AppData\Roaming\cttele32U.dll

Datei speichern unter, typ alle dateien, name cfscript.txt
speicherort, dort wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.

know2010 · 29.07.2010, 19:40

Hallo Markus,
jetzt betrete ich absolutes Neuland. Nachdem ich endlich den Editor gefunden habe, und besagte Info in einer Zeile eingegeben habe, taucht ein neues Problem auf. Es heißt:
Der Datei ist kein Programm zur Durchführung dieser Aktion zugeordnet. Erstellen Sie eine Zuordnung in der "Systemsteuerung" unter "Zuordnungen festlegen".

Bei Vista gibt es aber unter "Systemsteuerung" keinen besagten Ordner. ????

markusg · 29.07.2010, 19:43

wenn du den editor öffnest, dann gehts noch?
und wann tritt das problem auf? du sollst beide zeilen bitte einkopieren, dann auf datei, speichern unter, typ alle klicken, name cfscript.txt
und speicherort dort wo sich combofix.exe befindet

know2010 · 29.07.2010, 19:55

der Editor heißt "Ausführen" und ich kann die drei Zeilen dort nicht untereinander eingeben. In Ausführen bin ich gelangt, indem ich die Winlogotaste+R gedrückt habe. Es heißt dort: Geben Sie den Namen eines Programms, Ordners, Dokuments oder einer Internetressource an. Wenn ich auf Okay drücke, kommt dann die oben beschriebene Anweisung.
Wenn ich nur Editor in die Suchleiste eingebe und die Entertaste drücke, komme ich nirgendwo hin, es heißt: es wurde kein Suchergebnis gefunden.
Woher weiß ich denn, wie der Editor aussieht? Mit dem habe ich noch nie gearbeitet.

markusg · 29.07.2010, 20:13

a ok das klingt schon anders.
dann gehe auf start alle programme, zubehör, editor. da ists

know2010 · 29.07.2010, 20:25

meinst du das word pad? Editor gibt es nicht!

know2010 · 29.07.2010, 20:30

Dateityp gibt es nur RTF-Format, Textdokument, Textdokument -MA-DOS-Format, unicode Textdokument.

markusg · 29.07.2010, 20:30

download cfscript.txt
http://www.file-upload.net/download-2708481/cfscript.txt.html
und ziehe die dann auf das combofix symbol, programm sollte starten, neues log posten

know2010 · 29.07.2010, 20:57

Gut, hat prima funktioniert. Hier das log. Kannst Du was erkennen?
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-29.01 - Ivonne Hamza 29.07.2010  21:46:04.3.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2047.1162 [GMT 2:00]
ausgeführt von:: e:\eigene dateien\Documents\ComboFix.exe
Benutzte Befehlsschalter :: e:\eigene dateien\Documents\cfscript.txt
FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-29  ))))))))))))))))))))))))))))))
.

2010-07-29 19:49 . 2010-07-29 19:51	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Local\temp
2010-07-29 19:49 . 2010-07-29 19:49	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-07-29 19:49 . 2010-07-29 19:49	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-07-29 15:48 . 2010-07-29 15:48	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Avira
2010-07-29 15:44 . 2010-07-29 15:44	--------	d-----w-	c:\program files\Avira
2010-07-29 15:44 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-07-29 15:44 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-07-29 15:44 . 2009-05-11 10:49	51992	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-29 15:44 . 2009-05-11 10:49	17016	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-07-28 13:06 . 2010-07-28 13:06	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Malwarebytes
2010-07-28 13:05 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-28 13:05 . 2010-07-28 13:05	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-28 13:05 . 2010-07-28 13:05	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-28 13:05 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 06:52 . 2009-08-24 11:36	377344	----a-w-	c:\windows\system32\winhttp.dll
2010-07-19 19:59 . 2009-06-15 14:52	499712	----a-w-	c:\windows\system32\kerberos.dll
2010-07-19 19:59 . 2009-06-15 14:53	270848	----a-w-	c:\windows\system32\schannel.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 19:51 . 2007-12-19 20:16	--------	d-----w-	c:\program files\Lx_cats
2010-07-29 19:51 . 2009-12-21 09:26	35560	----a-w-	c:\programdata\nvModes.dat
2010-07-29 17:30 . 2006-11-02 15:33	618204	----a-w-	c:\windows\system32\perfh007.dat
2010-07-29 17:30 . 2006-11-02 15:33	122442	----a-w-	c:\windows\system32\perfc007.dat
2010-07-29 15:44 . 2007-12-18 18:13	--------	d-----w-	c:\programdata\Avira
2010-07-29 06:40 . 2008-03-18 18:05	--------	d-----w-	c:\programdata\Google Updater
2010-07-28 21:08 . 2009-09-17 19:28	--------	d-----w-	c:\program files\CCleaner
2010-07-22 08:46 . 2008-03-18 18:10	--------	d-----w-	c:\program files\Common Files\Real
2010-07-22 08:46 . 2008-03-18 18:10	--------	d-----w-	c:\program files\Real
2010-07-22 08:46 . 2010-03-31 14:06	--------	d-----w-	c:\program files\QuickTime
2010-07-22 07:55 . 2010-04-21 18:06	--------	d-----w-	c:\programdata\Lavasoft
2010-07-22 07:55 . 2010-02-27 16:19	--------	d-----w-	c:\program files\Common Files\Apple
2010-07-22 07:40 . 2010-05-24 07:09	--------	d-----w-	c:\programdata\WinZip
2010-07-22 07:37 . 2008-05-05 17:37	--------	d-----w-	c:\program files\Java
2010-07-22 07:37 . 2008-05-05 17:36	--------	d-----w-	c:\program files\Common Files\Java
2010-07-21 16:53 . 2007-12-18 17:54	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-06-27 22:25 . 2010-03-25 22:46	439816	----a-w-	c:\users\Ivonne Hamza\AppData\Roaming\Real\Update\setup3.11\setup.exe
2010-06-24 20:46 . 2010-06-16 14:29	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Apple Computer
2010-06-21 22:18 . 2007-12-17 21:52	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-16 14:28 . 2010-06-16 14:28	--------	d-----w-	c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-09 11:17 . 2008-03-18 18:05	--------	d-----w-	c:\program files\Google
2010-06-09 10:50 . 2007-12-17 21:43	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-05-26 17:06 . 2010-06-11 14:14	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-11 14:14	289792	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-03 08:31	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-04 05:59 . 2010-06-11 14:14	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 05:55 . 2010-06-11 14:14	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-05-04 05:55 . 2010-06-11 14:14	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-05-04 04:31 . 2010-06-11 14:14	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-05-01 14:13 . 2010-06-11 14:13	2037248	----a-w-	c:\windows\system32\win32k.sys
2008-09-20 22:36 . 2008-09-20 21:53	2516	--sha-w-	c:\windows\System32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"LXBUCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2007-02-22 73728]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
"AsioReg"="CTASIO.DLL" [2007-04-09 79872]
"CTHelper"="CTHELPER.EXE" [2007-04-09 19456]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 19968]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DevconDefaultDB"="c:\windows\system32\READREG" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-18 21:33	125952	----a-w-	c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileHippo.com]
2010-03-03 13:31	155648	----a-w-	c:\program files\FileHippo.com\UpdateChecker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2008-07-22 21:44	357376	----a-w-	c:\program files\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
2007-11-20 17:15	1826816	----a-w-	c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-18 21:33	202240	----a-w-	c:\program files\Windows Media Player\wmpnscfg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot
"NeroFilterCheck"=c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):37,04,c1,3c,26,39,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotificationsRef"=dword:00000001

R1 vdrv9000;vdrv9000;c:\windows\system32\DRIVERS\vdrv9000.sys [2007-11-14 113168]
R2 VC9SecS;Virtual CD v9 Management Service;c:\program files\Virtual CD v9\System\vc9secs.exe [x]
R3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [2006-09-20 11392]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-02-04 64288]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;c:\program files\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-11-05 566560]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\DRIVERS\DLPortIO.SYS [1999-01-10 3584]

.
Inhalt des "geplante Tasks" Ordners

2010-07-29 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-18 12:26]

2010-07-29 c:\windows\Tasks\User_Feed_Synchronization-{95EAF421-442E-4009-9916-1B70809362AE}.job
- c:\windows\system32\msfeedssync.exe [2010-06-11 04:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.live.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ivonne Hamza\AppData\Roaming\Mozilla\Firefox\Profiles\q9ub2ug1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - eBay
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 2
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  LXBUCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
  CTHelper = CTHELPER.EXE? 
  CTxfiHlp = CTXFIHLP.EXE? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdrv9000]
"ImagePath"="system32\DRIVERS\vdrv9000.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2b,b7,2e,3d,b8,cd,7d,5e,2c,03,b4,3c,10,77,0d,02,58,17,f0,82,f8,c3,15,
   70,17,01,0c,27,b7,10,dc,62,74,7f,9f,ac,6b,c3,4e,ab,ca,34,ac,45,b4,39,cc,d0,\
"??"=hex:2f,1e,ee,d6,86,e8,5c,65,8e,f9,f8,66,46,db,6f,e5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\lxbucoms.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-29  21:55:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-29 19:55
ComboFix2.txt  2010-07-29 17:34
ComboFix3.txt  2010-07-29 13:30

Vor Suchlauf: 11 Verzeichnis(se), 10.659.454.976 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 10.623.250.432 Bytes frei

- - End Of File - - 365571AFD00575A9B3089E7A911E6048

--- --- ---

know2010 · 30.07.2010, 08:40

AVIRA meldet nach wie vor den ROOTKIT/AGENT 119808

UND

GMER findet ebenfalls einen:

Service C:\Windows\system32\DRIVERS\vdrv9000.sys (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!

s. log:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 00:14:34
Windows 6.0.6002 Service Pack 2
Running: z49ke5sw.exe; Driver: C:\Users\IVONNE~1\AppData\Local\Temp\kxtdafod.sys

---- System - GMER 1.0.15 ----

SSDT 9B9A40AF ZwTerminateProcess

INT 0x52 ? 8405EBF8
INT 0x52 ? 8405EBF8
INT 0x52 ? 8405EBF8
INT 0x84 ? 85BF7D68
INT 0x94 ? 85BF7D68
INT 0xA3 ? 8405EBF8
INT 0xB3 ? 8405EBF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 621 822F6D84 4 Bytes [AF, 40, 9A, 9B]
PAGELK ntkrnlpa.exe!ZwReleaseCMFViewOwnership + C341 82512000 41 Bytes [90, 90, 90, 90, 90, 8B, FF, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 25 8251202A 5 Bytes [80, 02, 38, 82, 81]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 2B 82512030 8 Bytes [9A, 57, 51, 82, 74, 07, B8, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 35 8251203A 21 Bytes [C0, EB, 04, 89, 08, 33, C0, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + 4B 82512050 87 Bytes [E4, F8, 83, EC, 18, A1, 34, ...]
PAGELK ntkrnlpa.exe!WheaRegisterErrSrcInitializer + A3 825120A8 48 Bytes CALL 8228FABF \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ...
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 4 825156E3 98 Bytes [EC, 51, 53, 56, 57, FF, 35, ...]
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 68 82515747 24 Bytes [DE, 75, 1C, 8B, 4E, 04, 8B, ...]
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 81 82515760 90 Bytes CALL 82337004 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + DC 825157BB 90 Bytes [35, A8, 15, 38, 82, E8, D1, ...]
PAGELK ntkrnlpa.exe!IoUnregisterShutdownNotification + 137 82515816 3 Bytes CALL 8231A910 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ...
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 16 825168CF 18 Bytes [F6, C1, F0, 74, 07, B8, 5F, ...]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 29 825168E2 32 Bytes [FF, FF, 75, 0C, 0F, B7, C9, ...]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 4A 82516903 5 Bytes [55, 8B, EC, 83, EC]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 50 82516909 203 Bytes [8B, 4D, 10, 83, 65, F4, 00, ...]
PAGELK ntkrnlpa.exe!RtlGetCompressionWorkSpaceSize + 11C 825169D5 13 Bytes [00, 00, 8B, 4D, F8, 3B, 4D, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 4D 82516D00 80 Bytes [C0, 5D, C2, 20, 00, 90, 90, ...]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 9E 82516D51 51 Bytes [8B, 7D, 24, 8D, 45, FC, 50, ...]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + D3 82516D86 61 Bytes [8B, 45, 08, 03, 75, FC, 3B, ...]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 111 82516DC4 6 Bytes [90, 90, 90, 90, 90, 8B]
PAGELK ntkrnlpa.exe!RtlCompressBuffer + 118 82516DCB 10 Bytes [55, 8B, EC, 83, E4, F8, 81, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 62 8251B452 32 Bytes [C0, 5D, C2, 08, 00, CC, CC, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 87 8251B477 88 Bytes [CC, CC, CC, CC, CC, CC, CC, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + E0 8251B4D0 86 Bytes [89, 75, DC, 8D, 45, F0, 50, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 137 8251B527 59 Bytes [00, 00, 00, EB, 07, C7, 46, ...]
PAGELK ntkrnlpa.exe!KeI386SetGdtSelector + 173 8251B563 136 Bytes [FF, FF, 42, 8B, D9, 81, E3, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + 42 8251C157 4 Bytes [8B, 35, 24, 01]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + 47 8251C15C 34 Bytes [00, 8B, 46, 48, 4B, F6, 05, ...]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + 6A 8251C17F 94 Bytes [8E, 82, 00, 00, 00, 8B, 44, ...]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + CB 8251C1E0 27 Bytes [83, 7D, 0C, 00, 75, 2B, 8B, ...]
PAGELK ntkrnlpa.exe!MmMapUserAddressesToPage + E7 8251C1FC 33 Bytes [00, 8B, 58, 10, C1, E1, 0C, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 3C 8251C437 21 Bytes [75, 0A, B8, BB, 00, 00, C0, ...]
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 52 8251C44D 20 Bytes CALL 8228FADE \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 67 8251C462 3 Bytes CALL 8228FAE1 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 6B 8251C466 50 Bytes [8B, F0, 8D, 3C, 1E, 3B, DF, ...]
PAGELK ntkrnlpa.exe!MmAddPhysicalMemory + 9E 8251C499 20 Bytes [FF, 83, 64, 24, 24, 00, E8, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 57 8251D57C 159 Bytes [01, 0B, 00, 00, F6, C3, 08, ...]
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + F7 8251D61C 9 Bytes [00, 00, F6, 05, C4, 16, 38, ...] {ADD [EAX], AL; TEST BYTE [0x823816c4], 0x4}
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 101 8251D626 26 Bytes [0B, FF, 35, A8, 15, 38, 82, ...]
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 11E 8251D643 1 Byte [DC]
PAGELK ntkrnlpa.exe!MmAdjustWorkingSetSize + 11E 8251D643 12 Bytes [DC, 00, 33, C0, 40, 89, 45, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + 16 8251FBED 100 Bytes [90, 90, 90, 90, 90, 8B, FF, ...]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + 7B 8251FC52 108 Bytes [31, 81, C1, 98, 00, 00, 00, ...]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + ED 8251FCC4 1 Byte [90]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + F2 8251FCC9 63 Bytes [8B, FF, 55, 8B, EC, 83, E4, ...]
PAGELK ntkrnlpa.exe!PoSetFixedWakeSource + 132 8251FD09 48 Bytes [76, 14, 68, F0, 89, 51, 82, ...]
PAGELK ...
PAGELK ntkrnlpa.exe!PoSetHiberRange + 9 8251FD75 86 Bytes [45, 14, 83, EC, 14, 85, C0, ...]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 60 8251FDCC 291 Bytes [4D, 0C, 66, F7, C1, 00, 40, ...]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 184 8251FEF0 2 Bytes [FF, 55]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 187 8251FEF3 360 Bytes [EC, 53, 8B, 5D, 08, 56, 57, ...]
PAGELK ntkrnlpa.exe!PoSetHiberRange + 2F0 8252005C 12 Bytes CALL 82317B6F \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ...
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + 3C 825230DD 114 Bytes [0F, 85, A6, 07, 00, 00, 83, ...]
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + AF 82523150 61 Bytes JMP 825238E4 \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + ED 8252318E 117 Bytes [33, C0, 8D, 7D, A8, AB, AB, ...]
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + 163 82523204 133 Bytes CALL 822F66ED \SystemRoot\system32\ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)
PAGELK ntkrnlpa.exe!ZwSetSystemPowerState + 1E9 8252328A 6 Bytes [00, 8B, 00, 89, 45, 94] {ADD [EBX-0x6bba7700], CL}
PAGELK ...
? System32\Drivers\spbr.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 885C441B 5 Bytes JMP 85BF7348
.text ae4kaml1.SYS 8BCB8000 22 Bytes [82, E3, 21, 82, 6C, E2, 21, ...]
.text ae4kaml1.SYS 8BCB8017 105 Bytes [00, 32, B7, F0, 87, 3D, B5, ...]
.text ae4kaml1.SYS 8BCB8081 53 Bytes [FA, 28, 82, 98, 0E, 2F, 82, ...]
.text ae4kaml1.SYS 8BCB80B7 22 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ae4kaml1.SYS 8BCB80CE 80 Bytes [00, 00, 26, 00, 00, 00, E0, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [87E026D2] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [87E02040] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [87E027FC] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [87E020BE] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [87E0213C] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [87E12048] \SystemRoot\System32\Drivers\spbr.sys
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortNotification] F73BFF33
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortWritePortUchar] B85F0B75
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortWritePortUlong] FFFFFFFE
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 08C25D5E
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 5D8B5300
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetScatterGatherList] 74DF3B0C
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReadPortUchar] 01FB8311
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortStallExecution] 5F5B0C74
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetParentBusType] FFFFFEB8
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortRequestCallback] C25D5EFF
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 7E390008
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetUnCachedExtension] C7077524
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortCompleteRequest] 61642446
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortMoveMemory] 7E398BCC
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] C7077528
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 61902846
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 468B8BCC
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReadPortUshort] 244E8B2C
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7468016A
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortInitialize] 500000FA
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortGetDeviceBase] C73BD1FF
IAT \SystemRoot\System32\Drivers\ae4kaml1.SYS[ataport.SYS!AtaPortDeviceStateChange] 5F5B0C75

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84E1A1F8
Device \Driver\volmgr \Device\VolMgrControl 840601F8
Device \Driver\netbt \Device\NetBT_Tcpip_{30B663FF-C7D9-465E-AB24-9185DFBD0850} 863021F8
Device \Driver\usbohci \Device\USBPDO-0 85C081F8
Device \Driver\usbehci \Device\USBPDO-1 85C001F8
Device \Driver\PCI_PNP8212 \Device\00000052 spbr.sys
Device \Driver\USBSTOR \Device\00000070 863781F8
Device \Driver\volmgr \Device\HarddiskVolume1 840601F8
Device \Driver\volmgr \Device\HarddiskVolume2 840601F8
Device \Driver\cdrom \Device\CdRom0 85C091F8
Device \Driver\volmgr \Device\HarddiskVolume3 840601F8
Device \Driver\cdrom \Device\CdRom1 85C091F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 84E191F8
Device \Driver\atapi \Device\Ide\IdePort0 84E191F8
Device \Driver\atapi \Device\Ide\IdePort1 84E191F8
Device \Driver\atapi \Device\Ide\IdePort2 84E191F8
Device \Driver\atapi \Device\Ide\IdePort3 84E191F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-7 84E191F8
Device \Driver\volmgr \Device\HarddiskVolume4 840601F8
Device \Driver\netbt \Device\NetBt_Wins_Export 863021F8
Device \Driver\Smb \Device\NetbiosSmb 862C7500
Device \Driver\iScsiPrt \Device\RaidPort0 85C351F8
Device \Driver\sptd \Device\3203663212 spbr.sys
Device \Driver\usbohci \Device\USBFDO-0 85C081F8
Device \Driver\usbehci \Device\USBFDO-1 85C001F8
Device \Driver\USBSTOR \Device\0000006d 863781F8
Device \Driver\ae4kaml1 \Device\Scsi\ae4kaml11Port5Path0Target0Lun0 85C0F500
Device \Driver\ae4kaml1 \Device\Scsi\ae4kaml11 85C0F500
Device \FileSystem\cdfs \Cdfs 85BD5500

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\DRIVERS\vdrv9000.sys (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ServiceBinary C:\Windows\system32\drivers\VDRV9000.SYS
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Group SCSI Miniport
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ImagePath system32\DRIVERS\vdrv9000.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Tag 64
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@Count 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@NextInstance 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters\pnpinterface
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\security
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@ServiceBinary C:\Windows\system32\drivers\VDRV9000.SYS
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Group SCSI Miniport
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@ImagePath system32\DRIVERS\vdrv9000.sys
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Start 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000@Tag 64
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum@Count 0
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum@NextInstance 0
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\parameters\pnpinterface (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv9000\security (not active ControlSet)

---- EOF - GMER 1.0.15 ----

markusg · 30.07.2010, 10:50

neues cfscript
File-Upload.net - cfscript.txt
log posten.

know2010 · 30.07.2010, 11:53

Was auch immer es ist, es scheint etwas Hartnäckiges zu sein.

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-29.02 - Ivonne Hamza 30.07.2010  12:40:55.5.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2047.1070 [GMT 2:00]
ausgeführt von:: e:\eigene dateien\Documents\ComboFix.exe
Benutzte Befehlsschalter :: e:\eigene dateien\Documents\cfscript.txt
FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_vdrv9000


(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-30  ))))))))))))))))))))))))))))))
.

2010-07-30 10:46 . 2010-07-30 10:48	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Local\temp
2010-07-30 10:46 . 2010-07-30 10:46	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-07-30 10:46 . 2010-07-30 10:46	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-07-29 15:48 . 2010-07-29 15:48	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Avira
2010-07-29 15:44 . 2010-07-29 15:44	--------	d-----w-	c:\program files\Avira
2010-07-29 15:44 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-07-29 15:44 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-07-29 15:44 . 2009-05-11 10:49	51992	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-29 15:44 . 2009-05-11 10:49	17016	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-07-28 13:06 . 2010-07-28 13:06	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Malwarebytes
2010-07-28 13:05 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-28 13:05 . 2010-07-28 13:05	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-28 13:05 . 2010-07-28 13:05	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-28 13:05 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 06:52 . 2009-08-24 11:36	377344	----a-w-	c:\windows\system32\winhttp.dll
2010-07-19 19:59 . 2009-06-15 14:52	499712	----a-w-	c:\windows\system32\kerberos.dll
2010-07-19 19:59 . 2009-06-15 14:53	270848	----a-w-	c:\windows\system32\schannel.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-30 10:48 . 2007-12-19 20:16	--------	d-----w-	c:\program files\Lx_cats
2010-07-30 10:48 . 2009-12-21 09:26	35560	----a-w-	c:\programdata\nvModes.dat
2010-07-30 10:44 . 2006-11-02 15:33	618204	----a-w-	c:\windows\system32\perfh007.dat
2010-07-30 10:44 . 2006-11-02 15:33	122442	----a-w-	c:\windows\system32\perfc007.dat
2010-07-30 07:41 . 2008-03-18 18:05	--------	d-----w-	c:\programdata\Google Updater
2010-07-30 07:34 . 2007-12-17 21:10	82224	----a-w-	c:\users\Ivonne Hamza\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-29 15:44 . 2007-12-18 18:13	--------	d-----w-	c:\programdata\Avira
2010-07-28 21:08 . 2009-09-17 19:28	--------	d-----w-	c:\program files\CCleaner
2010-07-22 08:46 . 2008-03-18 18:10	--------	d-----w-	c:\program files\Common Files\Real
2010-07-22 08:46 . 2008-03-18 18:10	--------	d-----w-	c:\program files\Real
2010-07-22 08:46 . 2010-03-31 14:06	--------	d-----w-	c:\program files\QuickTime
2010-07-22 07:55 . 2010-04-21 18:06	--------	d-----w-	c:\programdata\Lavasoft
2010-07-22 07:55 . 2010-02-27 16:19	--------	d-----w-	c:\program files\Common Files\Apple
2010-07-22 07:40 . 2010-05-24 07:09	--------	d-----w-	c:\programdata\WinZip
2010-07-22 07:37 . 2008-05-05 17:37	--------	d-----w-	c:\program files\Java
2010-07-22 07:37 . 2008-05-05 17:36	--------	d-----w-	c:\program files\Common Files\Java
2010-07-21 16:53 . 2007-12-18 17:54	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-06-27 22:25 . 2010-03-25 22:46	439816	----a-w-	c:\users\Ivonne Hamza\AppData\Roaming\Real\Update\setup3.11\setup.exe
2010-06-24 20:46 . 2010-06-16 14:29	--------	d-----w-	c:\users\Ivonne Hamza\AppData\Roaming\Apple Computer
2010-06-21 22:18 . 2007-12-17 21:52	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-16 14:28 . 2010-06-16 14:28	--------	d-----w-	c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-09 11:17 . 2008-03-18 18:05	--------	d-----w-	c:\program files\Google
2010-06-09 10:50 . 2007-12-17 21:43	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-05-26 17:06 . 2010-06-11 14:14	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-11 14:14	289792	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-03 08:31	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-04 05:59 . 2010-06-11 14:14	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 05:55 . 2010-06-11 14:14	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-05-04 05:55 . 2010-06-11 14:14	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-05-04 04:31 . 2010-06-11 14:14	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-05-01 14:13 . 2010-06-11 14:13	2037248	----a-w-	c:\windows\system32\win32k.sys
2008-09-20 22:36 . 2008-09-20 21:53	2516	--sha-w-	c:\windows\System32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"LXBUCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2007-02-22 73728]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
"AsioReg"="CTASIO.DLL" [2007-04-09 79872]
"CTHelper"="CTHELPER.EXE" [2007-04-09 19456]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 19968]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DevconDefaultDB"="c:\windows\system32\READREG" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-18 21:33	125952	----a-w-	c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileHippo.com]
2010-03-03 13:31	155648	----a-w-	c:\program files\FileHippo.com\UpdateChecker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2008-07-22 21:44	357376	----a-w-	c:\program files\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
2007-11-20 17:15	1826816	----a-w-	c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-18 21:33	202240	----a-w-	c:\program files\Windows Media Player\wmpnscfg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot
"NeroFilterCheck"=c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):37,04,c1,3c,26,39,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3295401177-2540573099-3295252175-1000]
"EnableNotificationsRef"=dword:00000001

R2 VC9SecS;Virtual CD v9 Management Service;c:\program files\Virtual CD v9\System\vc9secs.exe [x]
R3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [2006-09-20 11392]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-05-22 717296]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-02-04 64288]
S2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;c:\program files\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-11-05 566560]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\DRIVERS\DLPortIO.SYS [1999-01-10 3584]

.
Inhalt des "geplante Tasks" Ordners

2010-07-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-18 12:26]

2010-07-30 c:\windows\Tasks\User_Feed_Synchronization-{95EAF421-442E-4009-9916-1B70809362AE}.job
- c:\windows\system32\msfeedssync.exe [2010-06-11 04:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.live.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ivonne Hamza\AppData\Roaming\Mozilla\Firefox\Profiles\q9ub2ug1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - eBay
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 2
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 12:48
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  LXBUCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
  CTHelper = CTHELPER.EXE? 
  CTxfiHlp = CTXFIHLP.EXE? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2b,b7,2e,3d,b8,cd,7d,5e,2c,03,b4,3c,10,77,0d,02,58,17,f0,82,f8,c3,15,
   70,17,01,0c,27,b7,10,dc,62,74,7f,9f,ac,6b,c3,4e,ab,ca,34,ac,45,b4,39,cc,d0,\
"??"=hex:2f,1e,ee,d6,86,e8,5c,65,8e,f9,f8,66,46,db,6f,e5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\lxbucoms.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-30  12:51:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-30 10:51
ComboFix2.txt  2010-07-30 09:17

Vor Suchlauf: 11 Verzeichnis(se), 10.681.176.064 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 10.435.129.344 Bytes frei

- - End Of File - - 982AA6AF4C381B5F9941686801B2E5C4

--- --- ---

markusg · 30.07.2010, 11:59

neustart und GMER laufen lassen bitte

know2010 · 30.07.2010, 12:31

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 13:28:31
Windows 6.0.6002 Service Pack 2
Running: z49ke5sw.exe; Driver: C:\Users\IVONNE~1\AppData\Local\Temp\kxtdafod.sys

---- System - GMER 1.0.15 ----

SSDT 9A1B23D7 ZwTerminateProcess

INT 0x52 ? 84E15BF8
INT 0x52 ? 84E15BF8
INT 0x52 ? 84E15BF8
INT 0x84 ? 85CA4F00
INT 0x94 ? 85CA4F00
INT 0xA3 ? 84E15BF8
INT 0xB3 ? 84E15BF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 621 822ADD84 4 Bytes [D7, 23, 1B, 9A]
? System32\Drivers\spak.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 885C541B 5 Bytes JMP 85CA44E0
.text aclfc5kj.SYS 8BEC1000 22 Bytes [82, 13, 5C, 82, 6C, 12, 5C, ...]
.text aclfc5kj.SYS 8BEC1017 105 Bytes [00, 32, D7, F0, 87, 3D, D5, ...]
.text aclfc5kj.SYS 8BEC1081 53 Bytes [6A, 24, 82, 98, 7E, 2A, 82, ...]
.text aclfc5kj.SYS 8BEC10B7 22 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aclfc5kj.SYS 8BEC10CE 80 Bytes [00, 00, 26, 00, 00, 00, E0, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [87E046D2] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [87E04040] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [87E047FC] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [87E040BE] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [87E0413C] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [87E14048] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortNotification] F73BFF33
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortWritePortUchar] B85F0B75
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortWritePortUlong] FFFFFFFE
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 08C25D5E
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 5D8B5300
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetScatterGatherList] 74DF3B0C
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReadPortUchar] 01FB8311
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortStallExecution] 5F5B0C74
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetParentBusType] FFFFFEB8
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortRequestCallback] C25D5EFF
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 7E390008
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetUnCachedExtension] C7077524
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortCompleteRequest] F1642446
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortMoveMemory] 7E398BEC
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] C7077528
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] F1902846
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 468B8BEC
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReadPortUshort] 244E8B2C
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7468016A
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortInitialize] 500000FA
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortGetDeviceBase] C73BD1FF
IAT \SystemRoot\System32\Drivers\aclfc5kj.SYS[ataport.SYS!AtaPortDeviceStateChange] 5F5B0C75

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84E1A1F8
Device \Driver\volmgr \Device\VolMgrControl 84E171F8
Device \Driver\sptd \Device\2552645830 spak.sys
Device \Driver\netbt \Device\NetBT_Tcpip_{30B663FF-C7D9-465E-AB24-9185DFBD0850} 862E91F8
Device \Driver\usbohci \Device\USBPDO-0 85C8F1F8
Device \Driver\usbehci \Device\USBPDO-1 85C4C1F8
Device \Driver\PCI_PNP4580 \Device\00000052 spak.sys
Device \Driver\USBSTOR \Device\00000070 864031F8
Device \Driver\volmgr \Device\HarddiskVolume1 84E171F8
Device \Driver\volmgr \Device\HarddiskVolume2 84E171F8
Device \Driver\cdrom \Device\CdRom0 85D33500
Device \Driver\volmgr \Device\HarddiskVolume3 84E171F8
Device \Driver\cdrom \Device\CdRom1 85D33500
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 84E191F8
Device \Driver\atapi \Device\Ide\IdePort0 84E191F8
Device \Driver\atapi \Device\Ide\IdePort1 84E191F8
Device \Driver\atapi \Device\Ide\IdePort2 84E191F8
Device \Driver\atapi \Device\Ide\IdePort3 84E191F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-7 84E191F8
Device \Driver\volmgr \Device\HarddiskVolume4 84E171F8
Device \Driver\netbt \Device\NetBt_Wins_Export 862E91F8
Device \Driver\Smb \Device\NetbiosSmb 862E7500
Device \Driver\iScsiPrt \Device\RaidPort0 85C631F8
Device \Driver\usbohci \Device\USBFDO-0 85C8F1F8
Device \Driver\usbehci \Device\USBFDO-1 85C4C1F8
Device \Driver\USBSTOR \Device\0000006d 864031F8
Device \Driver\aclfc5kj \Device\Scsi\aclfc5kj1 85DA31F8
Device \Driver\aclfc5kj \Device\Scsi\aclfc5kj1Port5Path0Target0Lun0 85DA31F8
Device \FileSystem\cdfs \Cdfs 86B7A1F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0x87 0x1F 0x0D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0xE1 0x64 0xE5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x47 0xD2 0xE4 0xAD ...

---- EOF - GMER 1.0.15 ----

29.07.2010, 20:13	#21
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll a ok das klingt schon anders. dann gehe auf start alle programme, zubehör, editor. da ists

29.07.2010, 20:30	#24
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll download cfscript.txt http://www.file-upload.net/download-2708481/cfscript.txt.html und ziehe die dann auf das combofix symbol, programm sollte starten, neues log posten

30.07.2010, 10:50	#27
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll neues cfscript File-Upload.net - cfscript.txt log posten.

30.07.2010, 11:59	#29
markusg /// Malware-holic	$Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll - Standard$ Entfernen von RKIT\Agent 119808 in C:\Users\*\AppData\Roaming\cttele32U.dll neustart und GMER laufen lassen bitte

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll

Plagegeister aller Art und deren Bekämpfung: Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll