firefoxmgr.exe öffnet mehrmals FireFox!

Prevof · 28.03.2011, 04:27

Hallo,

Hab anscheinend SpyWare auf meinem PC. Firefoxmgr.exe startet sich immer, wenn ich normal FireFox öffne. Hier mal ein Scan von VirusTotal von der .exe:

VirusTotal - Free Online Virus, Malware and URL Scanner

Ich weiß nicht, woher der Dreck kommt. Wie bekomm ich das nun los?

EDIT: Nun hab ich die ver... Datei so umgelenkt, dass sie nun den Internet Explorer nervt. Ohman.

kira · 28.03.2011, 05:39

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

Ich mach dir einen Vorschlag:
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.

Zitat:

-> Systemwiederherstellung
► Bitte wähle das älteste verfügbare Datum für die Wiederherstellung von Windows aus, wo dein Rechner noch einwandfrei funktioniert hat!

Du musst dich als Administrator oder als Benutzer mit Administratorrechten anmelden.
Die Systemwiederherstellung lässt sich unter Windows Vista/XP/7 wie folgt aufrufen:
► Start → Alle Programme → Zubehör → Systemprogramme → Systemwiederherstellung

->Eine Schritt-für-Schritt-Anleitung zum Einsatz der Systemwiederherstellung unter Windows XP
->Systemwiederherstellung unter Windows Vista
->Unter Win 7
► Falls nötig, kannst Du es im abgesicherten Modus auch tun - (Link bitte unbedingt anklicken & lesen!)

Die Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

1.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Prevof · 28.03.2011, 19:17

HiJackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:11:53, on 28.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\FireFox\firefox.exe
C:\Program Files\FireFox\firefox.exe
C:\Program Files\FireFox\firefox.exe
C:\Program Files\ScanSpyware\3.9.2.2\ScanSpyware.exe
C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2849855
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\xdbpqajc\gjpfbass.exe,
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: gjpfbass.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\Application Data\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 4228 bytes

Prevof · 28.03.2011, 19:18

hjtscanlist.txt

Code:

ATTFilter

 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

  28.03.2011 20:16      C:\WINDOWS --------- 0 
  28.03.2011 20:06      C:\Program Files --------- 0 
  28.03.2011 19:58      C:\boot.ini --------- 238 
  28.03.2011 19:39      C:\PurgeIE --------- 0 
  28.03.2011 19:38      C:\Config.Msi --------- 0 
        C:\hiberfil.sys ---------  
        C:\pagefile.sys ---------  
  28.03.2011 19:10      C:\abc --------- 0 
  26.03.2011 21:05      C:\FileIn.Cns --------- 0 
  26.03.2011 21:05      C:\FileOut.Cns --------- 0 
  25.03.2011 23:52      C:\Documents and Settings --------- 0 
  15.03.2011 18:27      C:\DirectX9 --------- 0 
  13.03.2011 03:31      C:\Fiaa --------- 0 
  13.03.2011 03:23      C:\Nexon --------- 0 
  12.03.2011 23:45      C:\RECYCLER --------- 0 
  12.03.2011 23:43      C:\System Volume Information --------- 0 
  13.01.2011 05:35      C:\CONFIG.SYS --------- 0 
  20.06.2010 16:20      C:\BOOT.BKK --------- 211 
  19.11.2009 22:18      C:\ATI --------- 0 
  03.05.2008 01:13      C:\MSDOS.SYS --------- 0 
  03.05.2008 01:13      C:\IO.SYS --------- 0 
  03.05.2008 01:13      C:\AUTOEXEC.BAT --------- 0 
  14.04.2008 14:00      C:\ntldr --------- 250048 
  14.04.2008 14:00      C:\NTDETECT.COM --------- 47564 
  04.08.2004 14:00      C:\bootfont.bin --------- 4952 
----------------------------------------

 
C:\WINDOWS

  28.03.2011 20:16     C:\WINDOWS\WindowsUpdate.log --------- 400 
  28.03.2011 20:00     C:\WINDOWS\Explorermgr.exe --------- 97130 
  28.03.2011 19:58     C:\WINDOWS\system.ini --------- 227 
  28.03.2011 19:58     C:\WINDOWS\win.ini --------- 477 
  28.03.2011 19:51     C:\WINDOWS\wiaservc.log --------- 50 
  28.03.2011 19:51     C:\WINDOWS\wiadebug.log --------- 159 
  28.03.2011 19:51     C:\WINDOWS\Sti_Trace.log --------- 0 
  28.03.2011 19:36     C:\WINDOWS\SchedLgU.Txt --------- 12212 
  28.03.2011 19:34     C:\WINDOWS\bootstat.dat --------- 2048 
  19.03.2011 14:05     C:\WINDOWS\NEXON_EU_DownloaderUpdater.exe --------- 446464 
  19.03.2011 00:51     C:\WINDOWS\Setup1.exe --------- 249856 
  19.03.2011 00:51     C:\WINDOWS\ST6UNST.EXE --------- 73216 
  19.03.2011 00:51     C:\WINDOWS\ST6UNST.000 --------- 1601 
  15.03.2011 19:01     C:\WINDOWS\mixerdef.ini --------- 25 
  15.03.2011 18:15     C:\WINDOWS\CMISETUP.INI --------- 92 
  15.03.2011 18:15     C:\WINDOWS\CMCDPLAY.INI --------- 26 
  15.03.2011 15:41     C:\WINDOWS\WININIT.INI --------- 0 
  13.03.2011 02:21     C:\WINDOWS\WMSysPr9.prx --------- 316640 
  13.03.2011 01:25     C:\WINDOWS\ativpsrm.bin --------- 0 
  13.03.2011 01:14     C:\WINDOWS\nsreg.dat --------- 0 
  13.03.2011 00:05     C:\WINDOWS\RtlRack.ini --------- 169 
  12.03.2011 23:43     C:\WINDOWS\REGLOCS.OLD --------- 8192 
  12.03.2011 23:38     C:\WINDOWS\control.ini --------- 0 
  12.03.2011 23:38     C:\WINDOWS\ODBCINST.INI --------- 4161 
  12.03.2011 23:36     C:\WINDOWS\WindowsShell.Manifest --------- 749 
  12.03.2011 23:34     C:\WINDOWS\vb.ini --------- 36 
  12.03.2011 23:34     C:\WINDOWS\vbaddin.ini --------- 37 
  11.03.2011 18:10     C:\WINDOWS\Blue Lace 16.bmp --------- 1272 
  11.03.2011 18:10     C:\WINDOWS\Soap Bubbles.bmp --------- 65978 
  11.03.2011 18:10     C:\WINDOWS\clock.avi --------- 82944 
  11.03.2011 18:10     C:\WINDOWS\Coffee Bean.bmp --------- 17062 
  11.03.2011 18:08     C:\WINDOWS\FeatherTexture.bmp --------- 16730 
  11.03.2011 18:08     C:\WINDOWS\explorer.scf --------- 80 
  11.03.2011 18:08     C:\WINDOWS\Gone Fishing.bmp --------- 17336 
  11.03.2011 18:08     C:\WINDOWS\Greenstone.bmp --------- 26582 
  11.03.2011 18:06     C:\WINDOWS\msdfmap.ini --------- 1405 
  11.03.2011 18:05     C:\WINDOWS\Prairie Wind.bmp --------- 65954 
  11.03.2011 18:05     C:\WINDOWS\Rhododendron.bmp --------- 17362 
  11.03.2011 18:05     C:\WINDOWS\River Sumida.bmp --------- 26680 
  11.03.2011 18:05     C:\WINDOWS\Santa Fe Stucco.bmp --------- 65832 
  11.03.2011 18:05     C:\WINDOWS\desktop.ini --------- 2 
  11.03.2011 18:05     C:\WINDOWS\TASKMAN.EXE --------- 15360 
  11.03.2011 18:04     C:\WINDOWS\twain.dll --------- 94784 
  11.03.2011 18:04     C:\WINDOWS\twunk_32.exe --------- 25600 
  11.03.2011 18:04     C:\WINDOWS\twunk_16.exe --------- 49680 
  11.03.2011 18:04     C:\WINDOWS\vmmreg32.dll --------- 18944 
  11.03.2011 18:04     C:\WINDOWS\winnt256.bmp --------- 48680 
  11.03.2011 18:04     C:\WINDOWS\winnt.bmp --------- 48680 
  11.03.2011 18:04     C:\WINDOWS\winhelp.exe --------- 256192 
  16.04.2009 18:19     C:\WINDOWS\atiogl.xml --------- 15577 
  02.10.2008 12:03     C:\WINDOWS\Cmicnfgp.ini.cfg --------- 2377 
  11.09.2008 12:10     C:\WINDOWS\CmiPCIUninstall.exe --------- 81920 
  30.06.2008 13:10     C:\WINDOWS\cmudaxp.ini --------- 1859 
  14.04.2008 02:12     C:\WINDOWS\winhlp32.exe --------- 283648 
  14.04.2008 02:12     C:\WINDOWS\slrundll.exe --------- 32866 
  14.04.2008 02:12     C:\WINDOWS\regedit.exe --------- 146432 
  14.04.2008 02:12     C:\WINDOWS\notepad.exe --------- 69120 
  14.04.2008 02:12     C:\WINDOWS\hh.exe --------- 10752 
  14.04.2008 02:12     C:\WINDOWS\explorer.exe --------- 1033728 
  14.04.2008 02:12     C:\WINDOWS\twain_32.dll --------- 50688 
  16.04.2007 16:28     C:\WINDOWS\soundman.exe --------- 577536 
  28.12.2006 21:01     C:\WINDOWS\002527_.tmp --------- 19569 
  31.07.2006 12:27     C:\WINDOWS\Alcrmv.exe --------- 217088 
  31.07.2006 12:19     C:\WINDOWS\alcupd.exe --------- 315392 
  05.08.2003 15:23     C:\WINDOWS\CMIUninstall.exe --------- 266240 
  19.11.2002 16:46     C:\WINDOWS\cmijack.dat --------- 39104 
  19.11.2002 16:43     C:\WINDOWS\cmaudio.dat --------- 22178 
  18.10.2002 16:56     C:\WINDOWS\CMIRmDriver.dll --------- 28672 
  15.10.2002 19:00     C:\WINDOWS\mixer.exe --------- 1818624 
  11.07.2002 13:13     C:\WINDOWS\cmuninst.dat --------- 135168 
  11.07.2002 12:24     C:\WINDOWS\cmuninst.exe --------- 139264 
  02.10.1998 20:00     C:\WINDOWS\IsUninst.exe --------- 327168 
----------------------------------------

 
C:\WINDOWS\System

 11.03.2011 18:10    C:\WINDOWS\System\AVIFILE.DLL --------- 109456 
 11.03.2011 18:10    C:\WINDOWS\System\AVICAP.DLL --------- 69584 
 11.03.2011 18:10    C:\WINDOWS\System\COMMDLG.DLL --------- 32816 
 11.03.2011 18:07    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000 
 11.03.2011 18:07    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936 
 11.03.2011 18:07    C:\WINDOWS\System\MCIAVI.DRV --------- 73376 
 11.03.2011 18:07    C:\WINDOWS\System\MCISEQ.DRV --------- 25264 
 11.03.2011 18:07    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160 
 11.03.2011 18:07    C:\WINDOWS\System\MMSYSTEM.DLL --------- 68768 
 11.03.2011 18:07    C:\WINDOWS\System\MMTASK.TSK --------- 1152 
 11.03.2011 18:07    C:\WINDOWS\System\MOUSE.DRV --------- 2032 
 11.03.2011 18:06    C:\WINDOWS\System\MSVIDEO.DLL --------- 126912 
 11.03.2011 18:06    C:\WINDOWS\System\OLECLI.DLL --------- 82944 
 11.03.2011 18:06    C:\WINDOWS\System\OLESVR.DLL --------- 24064 
 11.03.2011 18:05    C:\WINDOWS\System\setup.inf --------- 59167 
 11.03.2011 18:05    C:\WINDOWS\System\SHELL.DLL --------- 5120 
 11.03.2011 18:05    C:\WINDOWS\System\SOUND.DRV --------- 1744 
 11.03.2011 18:05    C:\WINDOWS\System\stdole.tlb --------- 5532 
 11.03.2011 18:05    C:\WINDOWS\System\SYSTEM.DRV --------- 3360 
 11.03.2011 18:05    C:\WINDOWS\System\TAPI.DLL --------- 19200 
 11.03.2011 18:05    C:\WINDOWS\System\TIMER.DRV --------- 4048 
 11.03.2011 18:04    C:\WINDOWS\System\VER.DLL --------- 9008 
 11.03.2011 18:04    C:\WINDOWS\System\VGA.DRV --------- 2176 
 11.03.2011 18:04    C:\WINDOWS\System\WFWNET.DRV --------- 13600 
 14.04.2008 02:12    C:\WINDOWS\System\winspool.drv --------- 146432 
 20.10.2000 19:28    C:\WINDOWS\System\crlds3d.dll --------- 765952 
----------------------------------------

 
C:\WINDOWS\System32

 28.03.2011 20:16     C:\WINDOWS\system32\dllcache --------- 0 
 28.03.2011 20:16     C:\WINDOWS\system32\CatRoot2 --------- 0 
 28.03.2011 15:56     C:\WINDOWS\system32\drivers --------- 0 
 28.03.2011 05:11     C:\WINDOWS\system32\perfh009.dat --------- 492614 
 28.03.2011 05:11     C:\WINDOWS\system32\perfc009.dat --------- 83262 
 28.03.2011 05:11     C:\WINDOWS\system32\PerfStringBackup.INI --------- 588124 
 28.03.2011 05:07     C:\WINDOWS\system32\wpa.dbl --------- 2278 
 26.03.2011 19:23     C:\WINDOWS\system32\FNTCACHE.DAT --------- 95864 
 26.03.2011 03:58     C:\WINDOWS\system32\de-de --------- 0 
 26.03.2011 03:55     C:\WINDOWS\system32\XPSViewer --------- 0 
 26.03.2011 03:55     C:\WINDOWS\system32\en-us --------- 0 
 24.03.2011 02:30     C:\WINDOWS\system32\LogFiles --------- 0 
 24.03.2011 01:26     C:\WINDOWS\system32\AGEIA --------- 0 
 24.03.2011 00:00     C:\WINDOWS\system32\DRVSTORE --------- 0 
 19.03.2011 16:39     C:\WINDOWS\system32\PnkBstrB.exe --------- 189248 
 19.03.2011 16:38     C:\WINDOWS\system32\PnkBstrA.exe --------- 75136 
 19.03.2011 14:05     C:\WINDOWS\system32\nxEuUninstall.bat --------- 235 
 17.03.2011 01:10     C:\WINDOWS\system32\wrap_oal.dll --------- 444952 
 17.03.2011 01:10     C:\WINDOWS\system32\OpenAL32.dll --------- 109080 
 16.03.2011 18:15     C:\WINDOWS\system32\PnkBstrB.xtr --------- 214592 
 16.03.2011 01:09     C:\WINDOWS\system32\DirectX --------- 0 
 15.03.2011 18:46     C:\WINDOWS\system32\CatRoot --------- 0 
 15.03.2011 16:44     C:\WINDOWS\system32\ReinstallBackups --------- 0 
 15.03.2011 15:41     C:\WINDOWS\system32\jupdate-1.6.0_24-b07.log --------- 3806 
 15.03.2011 15:15     C:\WINDOWS\system32\d3d9caps.dat --------- 664 
 14.03.2011 17:13     C:\WINDOWS\system32\winlogon.exe --------- 507904 
 14.03.2011 15:14     C:\WINDOWS\system32\uxtheme.dll --------- 218624 
 14.03.2011 15:13     C:\WINDOWS\system32\config --------- 0 
 13.03.2011 22:17     C:\WINDOWS\system32\TZLog.log --------- 8652 
 13.03.2011 03:45     C:\WINDOWS\system32\pbsvc.exe --------- 794408 
 13.03.2011 02:20     C:\WINDOWS\system32\spupdwxp.log --------- 269 
 13.03.2011 02:19     C:\WINDOWS\system32\Setup --------- 0 
 13.03.2011 02:19     C:\WINDOWS\system32\wbem --------- 0 
 13.03.2011 02:00     C:\WINDOWS\system32\usmt --------- 0 
 13.03.2011 02:00     C:\WINDOWS\system32\scripting --------- 0 
 13.03.2011 02:00     C:\WINDOWS\system32\en --------- 0 
 13.03.2011 02:00     C:\WINDOWS\system32\bits --------- 0 
 13.03.2011 01:58     C:\WINDOWS\system32\Restore --------- 0 
 13.03.2011 01:58     C:\WINDOWS\system32\npp --------- 0 
 13.03.2011 01:58     C:\WINDOWS\system32\Com --------- 0 
 13.03.2011 01:57     C:\WINDOWS\system32\oobe --------- 0 
 13.03.2011 00:28     C:\WINDOWS\system32\h323log.txt --------- 0 
 13.03.2011 00:11     C:\WINDOWS\system32\ras --------- 0 
 13.03.2011 00:10     C:\WINDOWS\system32\icsxml --------- 0 
 13.03.2011 00:10     C:\WINDOWS\system32\ias --------- 0 
 13.03.2011 00:10     C:\WINDOWS\system32\1033 --------- 0 
 12.03.2011 23:41     C:\WINDOWS\system32\$winnt$.inf --------- 597 
 12.03.2011 23:38     C:\WINDOWS\system32\CONFIG.NT --------- 2577 
 12.03.2011 23:38     C:\WINDOWS\system32\amcompat.tlb --------- 16832 
 12.03.2011 23:38     C:\WINDOWS\system32\nscompat.tlb --------- 23392 
 12.03.2011 23:36     C:\WINDOWS\system32\WindowsLogon.manifest --------- 488 
 12.03.2011 23:36     C:\WINDOWS\system32\logonui.exe.manifest --------- 488 
 12.03.2011 23:36     C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749 
 12.03.2011 23:36     C:\WINDOWS\system32\nwc.cpl.manifest --------- 749 
 12.03.2011 23:36     C:\WINDOWS\system32\sapi.cpl.manifest --------- 749 
 12.03.2011 23:36     C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749 
 12.03.2011 23:36     C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749 
 12.03.2011 23:35     C:\WINDOWS\system32\emptyregdb.dat --------- 21640 
 12.03.2011 23:34     C:\WINDOWS\system32\MsDtc --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\inetsrv --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\System --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\SetupLanguages --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\QuickTime --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\Patches --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\NtmsData --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\GroupPolicy --------- 0 
 12.03.2011 22:52     C:\WINDOWS\system32\BuilderLanguages --------- 0 
 11.03.2011 18:10     C:\WINDOWS\system32\12520437.cpx --------- 2151 
 11.03.2011 18:10     C:\WINDOWS\system32\12520850.cpx --------- 2233 
 11.03.2011 18:10     C:\WINDOWS\system32\acelpdec.ax --------- 61952 
 11.03.2011 18:10     C:\WINDOWS\system32\acledit.dll --------- 129536 
 11.03.2011 18:10     C:\WINDOWS\system32\aaaamon.dll --------- 25600 
 11.03.2011 18:10     C:\WINDOWS\system32\acctres.dll --------- 64512 
 11.03.2011 18:10     C:\WINDOWS\system32\adptif.dll --------- 26112 
 11.03.2011 18:10     C:\WINDOWS\system32\activeds.tlb --------- 111104 
 11.03.2011 18:10     C:\WINDOWS\system32\append.exe --------- 12498 
 11.03.2011 18:10     C:\WINDOWS\system32\apcups.dll --------- 102912 
 11.03.2011 18:10     C:\WINDOWS\system32\ansi.sys --------- 9029 
 11.03.2011 18:10     C:\WINDOWS\system32\arp.exe --------- 19456 
 11.03.2011 18:10     C:\WINDOWS\system32\atmpvcno.dll --------- 34816 
 11.03.2011 18:10     C:\WINDOWS\system32\atkctrs.dll --------- 13312 
 11.03.2011 18:10     C:\WINDOWS\system32\atrace.dll --------- 11264 
 11.03.2011 18:10     C:\WINDOWS\system32\AUTOEXEC.NT --------- 1688 
 11.03.2011 18:10     C:\WINDOWS\system32\autodisc.dll --------- 80384 
 11.03.2011 18:10     C:\WINDOWS\system32\avicap32.dll --------- 64000 
 11.03.2011 18:10     C:\WINDOWS\system32\avmeter.dll --------- 16384 
 11.03.2011 18:10     C:\WINDOWS\system32\avwav.dll --------- 73216 
 11.03.2011 18:10     C:\WINDOWS\system32\avicap.dll --------- 69584 
 11.03.2011 18:10     C:\WINDOWS\system32\avifile.dll --------- 109456 
 11.03.2011 18:10     C:\WINDOWS\system32\avtapi.dll --------- 227840 
 11.03.2011 18:10     C:\WINDOWS\system32\bios1.rom --------- 28420 
 11.03.2011 18:10     C:\WINDOWS\system32\bios4.rom --------- 8191 
 11.03.2011 18:10     C:\WINDOWS\system32\bopomofo.uce --------- 22984 
 11.03.2011 18:10     C:\WINDOWS\system32\bootok.exe --------- 4608 
 11.03.2011 18:10     C:\WINDOWS\system32\bootvid.dll --------- 12288 
 11.03.2011 18:10     C:\WINDOWS\system32\bootvrfy.exe --------- 5120 
 11.03.2011 18:10     C:\WINDOWS\system32\cards.dll --------- 359936 
 11.03.2011 18:10     C:\WINDOWS\system32\calc.exe --------- 114688 
 11.03.2011 18:10     C:\WINDOWS\system32\cdmodem.dll --------- 15872 
 11.03.2011 18:10     C:\WINDOWS\system32\ccfgnt.dll --------- 27648 
----------------------------------------

 
C:\WINDOWS\Prefetch

 28.03.2011 19:36     C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 31444 
 28.03.2011 19:36     C:\WINDOWS\Prefetch\VSEXPLORE.EXE-33642AE1.pf --------- 24410 
 28.03.2011 19:36     C:\WINDOWS\Prefetch\AUTOUPDATE.EXE-34BC6CE0.pf --------- 42322 
 28.03.2011 19:36     C:\WINDOWS\Prefetch\GAMEBOOSTER.EXE-2912F4BB.pf --------- 83038 
 28.03.2011 19:36     C:\WINDOWS\Prefetch\IS360SRV.EXE-1D9F2CBD.pf --------- 19062 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\FIREFOX.EXE-030B768A.pf --------- 31968 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\ERASER.EXE-0A396C83.pf --------- 45076 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\GJPFBASS.EXE-3292C3E6.pf --------- 21046 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\IS360TRAY.EXE-28F52ADE.pf --------- 25938 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\UNLOCKERASSISTANT.EXE-23C96476.pf --------- 8916 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\PWRISOVM.EXE-395F826A.pf --------- 11320 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 15198 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf --------- 9170 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf --------- 51498 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\GAMEBOX.EXE-358FE2F8.pf --------- 33712 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf --------- 34032 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\SPOOLSV.EXE-282F76A7.pf --------- 11354 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf --------- 17172 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\ATI2EVXX.EXE-19D16EB9.pf --------- 12398 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\LSASS.EXE-20DB6D1B.pf --------- 23574 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\SERVICES.EXE-2F433351.pf --------- 18872 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\WINLOGON.EXE-32C57D49.pf --------- 71348 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\CSRSS.EXE-12B63473.pf --------- 30146 
 28.03.2011 19:35     C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 73774 
 28.03.2011 19:28     C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf --------- 43872 
 28.03.2011 19:27     C:\WINDOWS\Prefetch\GJPFBASS.EXE-248431E9.pf --------- 24360 
 28.03.2011 19:27     C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf --------- 14884 
 28.03.2011 12:43     C:\WINDOWS\Prefetch\SPYBOTSD.EXE-1344276B.pf --------- 72838 
 28.03.2011 05:08     C:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf --------- 14230 
 28.03.2011 05:08     C:\WINDOWS\Prefetch\FIREFOX.EXE-28641590.pf --------- 30216 
 27.03.2011 00:09     C:\WINDOWS\Prefetch\PNKBSTRA.EXE-188A67A9.pf --------- 11924 
 27.03.2011 00:09     C:\WINDOWS\Prefetch\GOOGLEUPDATE.EXE-1E123D86.pf --------- 20930 
 27.03.2011 00:09     C:\WINDOWS\Prefetch\ATI2SGAG.EXE-034D00DE.pf --------- 31216 
 27.03.2011 00:09     C:\WINDOWS\Prefetch\MSCORSVW.EXE-1366B4F5.pf --------- 7898 
 26.03.2011 23:14     C:\WINDOWS\Prefetch\ATI2MDXX.EXE-00F23993.pf --------- 4422 
 26.03.2011 19:24     C:\WINDOWS\Prefetch\PNKBSTRB.EXE-21412697.pf --------- 12388 
 26.03.2011 19:24     C:\WINDOWS\Prefetch\MSCORSVW.EXE-1BF30400.pf --------- 10704 
 25.03.2011 22:03     C:\WINDOWS\Prefetch\IS360.EXE-38C817EF.pf --------- 56616 
 25.03.2011 21:53     C:\WINDOWS\Prefetch\MBAM.EXE-0BEE0439.pf --------- 41184 
 25.03.2011 21:49     C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 13914 
 25.03.2011 21:49     C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 15780 
 25.03.2011 21:39     C:\WINDOWS\Prefetch\REGCLEANER.EXE-1AFFDBF3.pf --------- 15224 
 25.03.2011 21:22     C:\WINDOWS\Prefetch\ACRORD32.EXE-11C16183.pf --------- 63146 
 25.03.2011 21:18     C:\WINDOWS\Prefetch\PLUGIN-CONTAINER.EXE-15EDC9DD.pf --------- 67216 
 25.03.2011 21:11     C:\WINDOWS\Prefetch\Layout.ini --------- 240142 
 25.03.2011 05:43     C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf --------- 29348 
 25.03.2011 05:39     C:\WINDOWS\Prefetch\SERVER.EXE-02E14127.pf --------- 17286 
 25.03.2011 05:39     C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf --------- 32210 
 24.03.2011 22:35     C:\WINDOWS\Prefetch\CSCRIPT.EXE-1C26180C.pf --------- 26048 
 24.03.2011 22:15     C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 52468 
 24.03.2011 22:15     C:\WINDOWS\Prefetch\SETUP.EXE-3AEF9510.pf --------- 19104 
 24.03.2011 22:15     C:\WINDOWS\Prefetch\UNINSTAL.EXE-25F1695A.pf --------- 12152 
 24.03.2011 00:37     C:\WINDOWS\Prefetch\POWERISO.EXE-051276F4.pf --------- 42556 
 24.03.2011 00:37     C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf --------- 18166 
 24.03.2011 00:35     C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 13364 
 24.03.2011 00:35     C:\WINDOWS\Prefetch\UNINSTALLER.EXE-0D4146EA.pf --------- 21374 
 24.03.2011 00:35     C:\WINDOWS\Prefetch\RUNDLL32.EXE-132B2031.pf --------- 61040 
 24.03.2011 00:35     C:\WINDOWS\Prefetch\CCLEANER.EXE-0BCE437C.pf --------- 100474 
 24.03.2011 00:34     C:\WINDOWS\Prefetch\AUTOSWEEP.EXE-3499F096.pf --------- 62368 
 24.03.2011 00:25     C:\WINDOWS\Prefetch\AWC.EXE-11349AC7.pf --------- 111686 
 24.03.2011 00:20     C:\WINDOWS\Prefetch\IEXPLORE.EXE-27122324.pf --------- 73824 
 24.03.2011 00:18     C:\WINDOWS\Prefetch\RAILSIM.EXE-39FFDF11.pf --------- 43386 
 24.03.2011 00:12     C:\WINDOWS\Prefetch\MSCONFIG.EXE-35E4DAE9.pf --------- 12858 
 23.03.2011 21:04     C:\WINDOWS\Prefetch\RT3.EXE-2325D0BC.pf --------- 85058 
 23.03.2011 21:02     C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf --------- 41168 
 23.03.2011 21:02     C:\WINDOWS\Prefetch\HELPCTR.EXE-3862B6F5.pf --------- 66222 
 23.03.2011 21:02     C:\WINDOWS\Prefetch\WINRAR.EXE-39C6DAD9.pf --------- 190942 
 23.03.2011 21:02     C:\WINDOWS\Prefetch\MSINFO32.EXE-29BA7538.pf --------- 22210 
 23.03.2011 21:02     C:\WINDOWS\Prefetch\AUTORUN.EXE-098DA529.pf --------- 12720 
 23.03.2011 20:56     C:\WINDOWS\Prefetch\SETUP.EXE-1D90A613.pf --------- 38008 
 23.03.2011 08:38     C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf --------- 54246 
 23.03.2011 08:38     C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf --------- 15604 
 20.03.2011 18:40     C:\WINDOWS\Prefetch\OP7LAUNCHER.EXE-04FA2B99.pf --------- 66720 
 19.03.2011 18:39     C:\WINDOWS\Prefetch\NEXON_EU_DOWNLOADER_ENGINE.EX-29873D0F.pf --------- 18238 
 19.03.2011 18:39     C:\WINDOWS\Prefetch\JUSCHED.EXE-0F4A509D.pf --------- 11580 
 15.03.2011 23:31     C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 27428 
 15.03.2011 19:02     C:\WINDOWS\Prefetch\SOUNDMAN.EXE-19745A34.pf --------- 12162 
 15.03.2011 18:15     C:\WINDOWS\Prefetch\RUNONCE.EXE-2803F297.pf --------- 23750 
 15.03.2011 15:35     C:\WINDOWS\Prefetch\IKERNEL.EXE-078AA887.pf --------- 67996 
 15.03.2011 05:54     C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf --------- 11360 
 14.03.2011 17:08     C:\WINDOWS\Prefetch\WPABALN.EXE-18F87702.pf --------- 31556 
 14.03.2011 16:15     C:\WINDOWS\Prefetch\CLEANMGR.EXE-1F86EA8E.pf --------- 117594 
 14.03.2011 15:08     C:\WINDOWS\Prefetch\RUNDLL32.EXE-2576181F.pf --------- 58836 
 14.03.2011 14:40     C:\WINDOWS\Prefetch\RUNDLL32.EXE-3F219C90.pf --------- 20574 
 14.03.2011 14:40     C:\WINDOWS\Prefetch\GRPCONV.EXE-111CD845.pf --------- 15464 
 13.03.2011 03:41     C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf --------- 17760 
 13.03.2011 02:52     C:\WINDOWS\Prefetch\INSTALLSHELL.EXE-04FD4263.pf --------- 14302 
 13.03.2011 02:21     C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf --------- 10986 
----------------------------------------

 
C:\WINDOWS\Tasks

 28.03.2011 19:36     C:\WINDOWS\Tasks\SA.DAT --------- 6 
 28.03.2011 19:34     C:\WINDOWS\Tasks\Game_Booster_Startup.job --------- 260 
 28.03.2011 19:34     C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job --------- 1100 
 11.03.2011 18:06     C:\WINDOWS\Tasks\desktop.ini --------- 65 
----------------------------------------

 
C:\WINDOWS\Temp

----------------------------------------

 
C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp

 28.03.2011 20:16      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\Rar$DI93.648 --------- 0 
 28.03.2011 20:07      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\ssdb032611.zip --------- 7382885 
 28.03.2011 20:07      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\Setup Log 2011-03-28 #001.txt --------- 5787 
 28.03.2011 20:01      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\mozilla-media-cache --------- 0 
 28.03.2011 19:36      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\vsexplore.exe --------- 97130 
 28.03.2011 19:09      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\_iu14D2N.tmp --------- 695578 
 28.03.2011 19:03      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\~DFAED6.tmp --------- 81920 
 28.03.2011 18:30      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\~DF2D81.tmp --------- 81920 
 28.03.2011 18:08      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\v3init2.log --------- 2212 
 28.03.2011 15:57      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\FON14.tmp --------- 0 
 28.03.2011 15:56      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\FonE.tmp --------- 5143236 
 28.03.2011 15:56      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\FonD.tmp --------- 4975736 
 28.03.2011 15:56      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\FonC.tmp --------- 5143808 
 23.03.2011 21:02      C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\CmdLineExt03.dll --------- 40448 
----------------------------------------

 
C:\Program Files

----------------------------------------

 
C:\Documents and Settings\All Users.WINDOWS\.. 

Shesiressu.SHESIRES-A4F393    
NetworkService.NT AUTHORITY.000    
Administrator    
LocalService.NT AUTHORITY.000    
Default User.WINDOWS    
All Users.WINDOWS    
LocalService.NT AUTHORITY    
NetworkService.NT AUTHORITY    
NetworkService    
LocalService    
Default User    
Custom Settings    
All Users    
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1       localhost

----------------------------------------

 

 
***** Ende des Scans 28.03.2011 um 20:17:04,45 ***

Prevof · 28.03.2011, 19:24

CCleaner:

Code:

ATTFilter

7-Zip 9.20		
Adobe Acrobat 4.0	Adobe Systems, Inc.	4.0
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	10.2.152.32
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	10.2.152.32
Adobe Shockwave Player 11.5	Adobe Systems, Inc.	11.5.9.620
Advanced SystemCare 3	IObit	3.7.3
AGEIA PhysX v6.10.25	AGEIA Technologies, Inc.	6.10.25
ATI - Dienstprogramm zur Deinstallation der Software		6.14.10.1022
ATI Catalyst Control Center		2.010.0210.2338
ATI Display Driver		8.593.100-100210a-095952E-ATI
BitTorrent		7.2.0
CCleaner	Piriform	3.04
Combat Arms EU		
DivX-Setup	DivX, LLC	2.4.0.6
EA SPORTS(TM) FIFA Online	Electronic Arts	1.0.1.1
Eusing Free Registry Cleaner		
Free Audio CD Burner version 1.4.7	DVDVideoSoft Limited.	
Free YouTube to MP3 Converter version 3.9.35.324	DVDVideoSoft Limited.	
Freeware Berliner U-Bahn Linie E (U5) V.1.2  Addon für MS-Trainsimulator	Martin Hohberg	1.2.
Game Booster	IObit	3.0.0.0
Google Earth	Google	6.0.1.2032
GTA2		1.00.001
IObit Security 360	IObit	1.0
IrfanView (remove only)	Irfan Skiljan	4.28
Java(TM) 6 Update 24	Oracle	6.0.240
Malwarebytes' Anti-Malware	Malwarebytes Corporation	
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	4.0.30319
Microsoft .NET Framework 4 Extended	Microsoft Corporation	4.0.30319
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	8.0.59193
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319	Microsoft Corporation	10.0.30319
Nero Toolbar	Ask.com	1.6.9.0
OnLive	OnLive	
OpenAL		
OPERATION7		
PCI Audio Driver		
PowerISO	PowerISO Computing, Inc.	4.7
Realtek AC'97 Audio	Realtek Semiconductor Corp.	5.36
ScanSpyware 3.9.2.2	ScanSpyware.Net	3.9.2.2
Smart Defrag 2	IObit	Beta 2.0
Spybot - Search & Destroy	Safer Networking Limited	1.6.2
TRS2004		1.00.000
TuneUp Utilities 2011	TuneUp Software	10.0.3010.9
Uninstall 1.0.0.1		
Unlocker 1.9.0	Cedrick Collomb	1.9.0
VLC media player 1.1.7	VideoLAN	1.1.7
Warzone 2100	Warzone 2100 Project	master_20110228
Windows Internet Explorer 8	Microsoft Corporation	20090308.140743
WinRAR 4.00 (32-bit)	win.rar GmbH	4.00.0

Mir ist aufgefallen, dass dieser "mgr" sich auch unter anderen Namen versteckt.

Das wären:

- explorermgr.exe
- combatarmsmgr.exe (Spiel)
- freeyoutubetomp3convertermgr.exe (Sinnlos???)
- firefoxmgr.exe
- gjbfbass.exe (Mit Unlocker deinstalliert, wieder da...)

Und noch ein paar andere ...

Passwörter oder so wurden nicht geändert, hab auch keinen Brief von meiner Bank! Aber Google sagt ja schonmal was böses ...

Ich brauche schnell Hilfe, wir müssen ins OnlineBanking und ich hab auch Accounts auf Spielen die sehr wichtig sind! Aber es wird ja hauptsächlich auf das OnlineBanking abgesehen ...

kira · 28.03.2011, 21:21

kein Antwort auf meine Frage erhalten!?:

Zitat:

Zitat von Coverflow

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

Dein System ist vermutlich von einem Rootkit befallen

►Da eine hundertprozentige Erkennung von Rootkits meist unmöglich ist, ist die beste Methode wäre zur Entfernung die komplette Neuinstallation.

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

3.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

Prevof · 28.03.2011, 22:16

GMER hört ab meinem nicht löschbaren Ordner den ich von meinem 1. Windows XP habe (Mai 2008) auf. Keine Ahnung wieso.

Malwarebytes AntiMalware

Code:

ATTFilter

Folgt noch ...

HiJackThis LogFile

Code:

ATTFilter

Folgt noch ...

EDIT: Durch meinen sinnlosen Ordner den ich seit 2 - 3 Jahren nicht löschen kann, wo noch alle Spiele und Dateien von 2008 - 2009 draufsind, spinnt jeder Vollscan. GMER bricht dort ab und MBAM macht dort nicht weiter (Hab nun nach 10 Minuten auf der gleichen Stelle) abgebrochen. Aber QuickScans funktionieren perfekt (Kein Virusfund) ... Es kommt immer "Zugriff verweigert" ... hab es schon mit allen möglichen Tools probiert, aber nix geht ... nur Unlocker hat ein paar kleine Daten gelöscht!

Dazu muss ich sagen, ich hab vor ungefähr 1 Woche schon eine Neuinstallation gemacht. Ich hatte davor Windows XP Professional, nun habe ich Windows XP Home. Auf Windows XP Professional hatte ich keinen einzigen Virus, es war nur ein kleines bisschen zugemüllt - also hat mein Bruder nach 5 Monaten neuinstalliert (Da ich die CD verloren habe, hat mein Bruder irgendwas für mich installiert ... nun hab ich Windows XP Home) ... auf XP Professional hat er den unlöschbaren Ordner übersprungen bei Vollscans.

Ohman ... wieso läuft immer gleich alles schief? ...

Prevof · 29.03.2011, 00:20

Sorry für die ganzen Doppelt und Trippleposts ...

Aufjedenfall hab ich jetzt zugriff auf System Volume Information und auf den nicht löschbaren Ordner ... Ich lasse nun nochmal GMER drüberlaufen (Hoffentlich funktioniert) es ... ungefähr um 7 Uhr früh (Heute) werde ich dann hoffentlich das Logfile von GMER posten können.

Zu deiner Frage: Die Systemwiederherstellung hat wunderbar geklappt. Bloß war mein letzter Restorepoint am 28.3.2011 um 18:41 ...

Prevof · 29.03.2011, 06:48

Und da bin ich ich wieder! :-) Alles hat geklappt!

GMER

Code:

ATTFilter

GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-03-29 04:41:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_SV0813H rev.RJ100-15
Running: gq9v186b.exe; Driver: C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\kfdyrkog.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateEvent [0xB1BB299A]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateFile [0xB1BB23B8]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateProcess [0xB1BB183E]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateProcessEx [0xB1BB186E]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateThread [0xB1BB189E]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwSetSystemInformation [0xB1BB24C2]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwTerminateProcess [0xB1BB20C4]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwWriteVirtualMemory [0xB1BB21B6]

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                         section is writeable [0xBA235000, 0x1C5D38, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\wscntfy.exe[1208] kernel32.dll!LoadLibraryExW + C4                                                           7C801BB9 4 Bytes  CALL 00CF0001 
.text           C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\gq9v186b.exe[1456] kernel32.dll!LoadLibraryExW + C4  7C801BB9 4 Bytes  CALL 003D0001 
.text           C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\gq9v186b.exe[1456] kernel32.dll!FreeLibrary + 15     7C80AC93 4 Bytes  CALL 7170003D 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Ich hab mal alle 3 MBAM-Scans genommen, den aktuellen von Heute und 2 Stück vom 25.03.11 ... vielleicht hilft das!

MBAM 29.03.11

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.03.2011 07:29:37
mbam-log-2011-03-29 (07-29-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 141617
Laufzeit: 2 Stunde(n), 46 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\programme\multimedia\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

MBAM 25.03.11 #1

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6044

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.03.2011 04:35:24
mbam-log-2011-03-25 (04-35-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 64
Laufzeit: 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
i:\RECYCLER\s-1-8-86-7476612306-2678577016-667686110-3357\kKmccBgp.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\GGlaGABL.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\kBFsHfcX.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\rwypQiBs.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\KMKdrFld.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\PWsGyuvI.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\wOnkQsGN.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\JbndhZAI.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\fpVcRjYu.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\MIvHyfBT.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\VHLpUHuq.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\HMyjRnav.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\pTfBOloB.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\UPQbATlx.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\URbkjMbp.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\ErIWoNxt.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\lXvHKGjO.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\tVXVRvGC.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\CCNCrtFs.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\XFGkurvx.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\kZVqyuFN.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\rQQYBCSt.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.

MBAM 25.03.11 #2

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.03.2011 20:49:06
mbam-log-2011-03-25 (20-49-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 204252
Laufzeit: 7 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5G1B74TU-W5D4-K6EB-RD7P-1YB6A2L0LMV0} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5G1B74TU-W5D4-K6EB-RD7P-1YB6A2L0LMV0} (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.Downloader) -> Value: HKLM -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Downloader) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Downloader) -> Value: HKCU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Downloader) -> Value: Policies -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\setup\server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\local settings\Temp\1788156_server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\application data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\local settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\local settings\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Prevof · 29.03.2011, 06:54

Und noch der HiJackThis-Log von Heute

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:41:05, on 29.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\FireFox\firefox.exe
C:\Program Files\FireFox\firefox.exe
C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\xdbpqajc\gjpfbass.exe,
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - Startup: gjpfbass.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\Application Data\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norman eLogger Service (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\elogsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\scheduler.exe

--
End of file - 4547 bytes

Noch ganz gut zu wissen ist, dass ich alle Viren höchstwarscheinlich von einem USB-Stick habe. Von meiner Mutter der Laptop ist nämlich auch mit SpyEye und paar anderen Viren verseucht. Mein Bruder hat den verdammtem USB-Stick am PC angesteckt und alles hat seinen Lauf genommen. Alle Viren sind warscheinlich nun auf meinem PC weg, ausser der SpyEye.

Ich hoffe, dieser Virus hat noch keine Daten gestohlen. Sobald er weg ist, werden wir alle Passwörter so weit es geht umändern.

Ich hoffe, ich muss keine Neuinstallation machen, weil meine letzte Neuinstallation wie gesagt vor 5 - 14 Tagen war ... weiß nicht mehr genau wann.

EDIT:

Hab ein Tool gefunden Namens RootReveal. Hab damit mal Files und SSDT gescannt! Vielleicht hilft das dir!

Files

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2011/03/29 08:40
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\program files\xdbpqajc\gjpfbass.exe
Status: Allocation size mismatch (API: 90112, Raw: 98304)

Path: c:\documents and settings\shesiressu.shesires-a4f393\start menu\programs\startup\gjpfbass.exe
Status: Allocation size mismatch (API: 90112, Raw: 98304)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\cookies.sqlite
Status: Allocation size mismatch (API: 217088, Raw: 212992)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\cookies.sqlite-shm
Status: Allocation size mismatch (API: 4096, Raw: 32768)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\cookies.sqlite-wal
Status: Allocation size mismatch (API: 16384, Raw: 12288)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\places.sqlite-shm
Status: Allocation size mismatch (API: 4096, Raw: 32768)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\places.sqlite-wal
Status: Allocation size mismatch (API: 372736, Raw: 380928)

Path: C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\Application Data\Mozilla\Firefox\Profiles\1jeb70vz.default\sessionstore.js
Status: Could not get file information (Error 0xc0000008)

Path: c:\documents and settings\shesiressu.shesires-a4f393\local settings\application data\mozilla\firefox\profiles\1jeb70vz.default\cache\_cache_001_
Status: Size mismatch (API: 1297851, Raw: 1282768)

Path: c:\documents and settings\shesiressu.shesires-a4f393\local settings\application data\mozilla\firefox\profiles\1jeb70vz.default\cache\_cache_002_
Status: Size mismatch (API: 1285014, Raw: 1263771)

Path: c:\documents and settings\shesiressu.shesires-a4f393\local settings\application data\mozilla\firefox\profiles\1jeb70vz.default\cache\_cache_003_
Status: Size mismatch (API: 4577398, Raw: 4498433)

SSDT

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2011/03/29 08:41
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

SSDT
-------------------
#: 017	Function Name: NtAllocateVirtualMemory
Status: Not hooked

#: 019	Function Name: NtAssignProcessToJobObject
Status: Not hooked

#: 035	Function Name: NtCreateEvent
Status: Not hooked

#: 037	Function Name: NtCreateFile
Status: Not hooked

#: 047	Function Name: NtCreateProcess
Status: Not hooked

#: 048	Function Name: NtCreateProcessEx
Status: Not hooked

#: 053	Function Name: NtCreateThread
Status: Not hooked

#: 057	Function Name: NtDebugActiveProcess
Status: Not hooked

#: 063	Function Name: NtDeleteKey
Status: Not hooked

#: 065	Function Name: NtDeleteValueKey
Status: Not hooked

#: 068	Function Name: NtDuplicateObject
Status: Not hooked

#: 116	Function Name: NtOpenFile
Status: Not hooked

#: 122	Function Name: NtOpenProcess
Status: Not hooked

#: 125	Function Name: NtOpenSection
Status: Not hooked

#: 128	Function Name: NtOpenThread
Status: Not hooked

#: 137	Function Name: NtProtectVirtualMemory
Status: Not hooked

#: 213	Function Name: NtSetContextThread
Status: Not hooked

#: 240	Function Name: NtSetSystemInformation
Status: Hooked by "C:\Program Files\Norman\Ngs\Bin\nprosec.sys" at address 0xadcaef60

#: 247	Function Name: NtSetValueKey
Status: Not hooked

#: 255	Function Name: NtSystemDebugControl
Status: Hooked by "C:\WINDOWS\System32\drivers\pxrts.sys" at address 0xadcaeaf0

#: 257	Function Name: NtTerminateProcess
Status: Not hooked

#: 258	Function Name: NtTerminateThread
Status: Not hooked

#: 277	Function Name: NtWriteVirtualMemory
Status: Not hooked

#: 283	Function Name: NtQueryPortInformationProcess
Status: Not hooked

#: 282	Function Name: NtWaitForKeyedEvent
Status: Not hooked

#: 281	Function Name: NtReleaseKeyedEvent
Status: Not hooked

#: 280	Function Name: NtOpenKeyedEvent
Status: Not hooked

#: 279	Function Name: NtCreateKeyedEvent
Status: Not hooked

#: 278	Function Name: NtYieldExecution
Status: Not hooked

#: 276	Function Name: NtWriteRequestData
Status: Not hooked

#: 275	Function Name: NtWriteFileGather
Status: Not hooked

#: 274	Function Name: NtWriteFile
Status: Not hooked

#: 273	Function Name: NtWaitLowEventPair
Status: Not hooked

#: 272	Function Name: NtWaitHighEventPair
Status: Not hooked

#: 271	Function Name: NtWaitForSingleObject
Status: Not hooked

#: 270	Function Name: NtWaitForMultipleObjects
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb299a

#: 269	Function Name: NtWaitForDebugEvent
Status: Not hooked

#: 268	Function Name: NtVdmControl
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xae00c8f0

#: 267	Function Name: NtUnmapViewOfSection
Status: Not hooked

#: 266	Function Name: NtUnlockVirtualMemory
Status: Not hooked

#: 265	Function Name: NtUnlockFile
Status: Not hooked

#: 264	Function Name: NtUnloadKeyEx
Status: Not hooked

#: 263	Function Name: NtUnloadKey
Status: Not hooked

#: 262	Function Name: NtUnloadDriver
Status: Not hooked

#: 261	Function Name: NtTranslateFilePath
Status: Not hooked

#: 260	Function Name: NtTraceEvent
Status: Not hooked

#: 259	Function Name: NtTestAlert
Status: Not hooked

#: 256	Function Name: NtTerminateJobObject
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb183e

#: 254	Function Name: NtSuspendThread
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb186e

#: 253	Function Name: NtSuspendProcess
Status: Not hooked

#: 252	Function Name: NtStopProfile
Status: Not hooked

#: 251	Function Name: NtStartProfile
Status: Not hooked

#: 250	Function Name: NtSignalAndWaitForSingleObject
Status: Not hooked

#: 249	Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaeb40

#: 248	Function Name: NtSetVolumeInformationFile
Status: Not hooked

#: 246	Function Name: NtSetUuidSeed
Status: Not hooked

#: 245	Function Name: NtSetTimerResolution
Status: Not hooked

#: 244	Function Name: NtSetTimer
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaef10

#: 243	Function Name: NtSetThreadExecutionState
Status: Not hooked

#: 242	Function Name: NtSetSystemTime
Status: Not hooked

#: 241	Function Name: NtSetSystemPowerState
Status: Not hooked

#: 239	Function Name: NtSetSystemEnvironmentValueEx
Status: Not hooked

#: 238	Function Name: NtSetSystemEnvironmentValue
Status: Not hooked

#: 237	Function Name: NtSetSecurityObject
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcae810

#: 236	Function Name: NtSetQuotaInformationFile
Status: Not hooked

#: 235	Function Name: NtSetLowWaitHighEventPair
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcae8d0

#: 234	Function Name: NtSetLowEventPair
Status: Not hooked

#: 233	Function Name: NtSetLdtEntries
Status: Not hooked

#: 232	Function Name: NtSetIoCompletion
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf180

#: 231	Function Name: NtSetIntervalProfile
Status: Not hooked

#: 230	Function Name: NtSetInformationToken
Status: Not hooked

#: 229	Function Name: NtSetInformationThread
Status: Not hooked

#: 228	Function Name: NtSetInformationProcess
Status: Not hooked

#: 227	Function Name: NtSetInformationObject
Status: Not hooked

#: 226	Function Name: NtSetInformationKey
Status: Not hooked

#: 225	Function Name: NtSetInformationJobObject
Status: Not hooked

#: 224	Function Name: NtSetInformationFile
Status: Not hooked

#: 223	Function Name: NtSetInformationDebugObject
Status: Not hooked

#: 222	Function Name: NtSetHighWaitLowEventPair
Status: Not hooked

#: 221	Function Name: NtSetHighEventPair
Status: Not hooked

#: 220	Function Name: NtSetEventBoostPriority
Status: Not hooked

#: 219	Function Name: NtSetEvent
Status: Not hooked

#: 218	Function Name: NtSetEaFile
Status: Not hooked

#: 217	Function Name: NtSetDefaultUILanguage
Status: Not hooked

#: 216	Function Name: NtSetDefaultLocale
Status: Not hooked

#: 215	Function Name: NtSetDefaultHardErrorPort
Status: Not hooked

#: 214	Function Name: NtSetDebugFilterState
Status: Not hooked

#: 212	Function Name: NtSetBootOptions
Status: Not hooked

#: 211	Function Name: NtSetBootEntryOrder
Status: Not hooked

#: 210	Function Name: NtSecureConnectPort
Status: Not hooked

#: 209	Function Name: NtSaveMergedKeys
Status: Not hooked

#: 208	Function Name: NtSaveKeyEx
Status: Not hooked

#: 207	Function Name: NtSaveKey
Status: Not hooked

#: 206	Function Name: NtResumeThread
Status: Not hooked

#: 205	Function Name: NtResumeProcess
Status: Not hooked

#: 204	Function Name: NtRestoreKey
Status: Not hooked

#: 203	Function Name: NtResetWriteWatch
Status: Not hooked

#: 202	Function Name: NtResetEvent
Status: Not hooked

#: 201	Function Name: NtRequestWakeupLatency
Status: Not hooked

#: 200	Function Name: NtRequestWaitReplyPort
Status: Not hooked

#: 199	Function Name: NtRequestPort
Status: Not hooked

#: 198	Function Name: NtRequestDeviceWakeup
Status: Not hooked

#: 197	Function Name: NtReplyWaitReplyPort
Status: Not hooked

#: 196	Function Name: NtReplyWaitReceivePortEx
Status: Not hooked

#: 195	Function Name: NtReplyWaitReceivePort
Status: Not hooked

#: 194	Function Name: NtReplyPort
Status: Not hooked

#: 193	Function Name: NtReplaceKey
Status: Not hooked

#: 192	Function Name: NtRenameKey
Status: Not hooked

#: 191	Function Name: NtRemoveProcessDebug
Status: Not hooked

#: 190	Function Name: NtRemoveIoCompletion
Status: Not hooked

#: 189	Function Name: NtReleaseSemaphore
Status: Not hooked

#: 188	Function Name: NtReleaseMutant
Status: Not hooked

#: 187	Function Name: NtRegisterThreadTerminatePort
Status: Not hooked

#: 186	Function Name: NtReadVirtualMemory
Status: Not hooked

#: 185	Function Name: NtReadRequestData
Status: Not hooked

#: 184	Function Name: NtReadFileScatter
Status: Not hooked

#: 183	Function Name: NtReadFile
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xae00c850

#: 182	Function Name: NtRaiseHardError
Status: Not hooked

#: 181	Function Name: NtRaiseException
Status: Not hooked

#: 180	Function Name: NtQueueApcThread
Status: Not hooked

#: 179	Function Name: NtQueryVolumeInformationFile
Status: Not hooked

#: 178	Function Name: NtQueryVirtualMemory
Status: Not hooked

#: 177	Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf490

#: 176	Function Name: NtQueryTimerResolution
Status: Not hooked

#: 175	Function Name: NtQueryTimer
Status: Not hooked

#: 174	Function Name: NtQuerySystemTime
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaecd0

#: 173	Function Name: NtQuerySystemInformation
Status: Not hooked

#: 172	Function Name: NtQuerySystemEnvironmentValueEx
Status: Not hooked

#: 171	Function Name: NtQuerySystemEnvironmentValue
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf320

#: 170	Function Name: NtQuerySymbolicLinkObject
Status: Not hooked

#: 169	Function Name: NtQuerySemaphore
Status: Not hooked

#: 168	Function Name: NtQuerySecurityObject
Status: Not hooked

#: 167	Function Name: NtQuerySection
Status: Not hooked

#: 166	Function Name: NtQueryQuotaInformationFile
Status: Not hooked

#: 165	Function Name: NtQueryPerformanceCounter
Status: Not hooked

#: 164	Function Name: NtQueryOpenSubKeys
Status: Not hooked

#: 163	Function Name: NtQueryObject
Status: Not hooked

#: 162	Function Name: NtQueryMutant
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaebe0

#: 161	Function Name: NtQueryMultipleValueKey
Status: Not hooked

#: 160	Function Name: NtQueryKey
Status: Not hooked

#: 159	Function Name: NtQueryIoCompletion
Status: Not hooked

#: 158	Function Name: NtQueryIntervalProfile
Status: Not hooked

#: 157	Function Name: NtQueryInstallUILanguage
Status: Not hooked

#: 156	Function Name: NtQueryInformationToken
Status: Not hooked

#: 155	Function Name: NtQueryInformationThread
Status: Not hooked

#: 154	Function Name: NtQueryInformationProcess
Status: Not hooked

#: 153	Function Name: NtQueryInformationPort
Status: Not hooked

#: 152	Function Name: NtQueryInformationJobObject
Status: Not hooked

#: 151	Function Name: NtQueryInformationFile
Status: Not hooked

#: 150	Function Name: NtQueryInformationAtom
Status: Not hooked

#: 149	Function Name: NtQueryFullAttributesFile
Status: Not hooked

#: 148	Function Name: NtQueryEvent
Status: Not hooked

#: 147	Function Name: NtQueryEaFile
Status: Not hooked

#: 146	Function Name: NtQueryDirectoryObject
Status: Not hooked

#: 145	Function Name: NtQueryDirectoryFile
Status: Not hooked

#: 144	Function Name: NtQueryDefaultUILanguage
Status: Not hooked

#: 143	Function Name: NtQueryDefaultLocale
Status: Not hooked

#: 142	Function Name: NtQueryDebugFilterState
Status: Not hooked

#: 141	Function Name: NtQueryBootOptions
Status: Not hooked

#: 140	Function Name: NtQueryBootEntryOrder
Status: Not hooked

#: 139	Function Name: NtQueryAttributesFile
Status: Not hooked

#: 138	Function Name: NtPulseEvent
Status: Not hooked

#: 136	Function Name: NtPrivilegedServiceAuditAlarm
Status: Not hooked

#: 135	Function Name: NtPrivilegeObjectAuditAlarm
Status: Not hooked

#: 134	Function Name: NtPrivilegeCheck
Status: Not hooked

#: 133	Function Name: NtPowerInformation
Status: Not hooked

#: 132	Function Name: NtPlugPlayControl
Status: Not hooked

#: 131	Function Name: NtOpenTimer
Status: Not hooked

#: 130	Function Name: NtOpenThreadTokenEx
Status: Not hooked

#: 129	Function Name: NtOpenThreadToken
Status: Not hooked

#: 127	Function Name: NtOpenSymbolicLinkObject
Status: Not hooked

#: 126	Function Name: NtOpenSemaphore
Status: Not hooked

#: 124	Function Name: NtOpenProcessTokenEx
Status: Not hooked

#: 123	Function Name: NtOpenProcessToken
Status: Not hooked

#: 121	Function Name: NtOpenObjectAuditAlarm
Status: Not hooked

#: 120	Function Name: NtOpenMutant
Status: Not hooked

#: 119	Function Name: NtOpenKey
Status: Not hooked

#: 118	Function Name: NtOpenJobObject
Status: Not hooked

#: 117	Function Name: NtOpenIoCompletion
Status: Not hooked

#: 115	Function Name: NtOpenEventPair
Status: Not hooked

#: 114	Function Name: NtOpenEvent
Status: Not hooked

#: 113	Function Name: NtOpenDirectoryObject
Status: Not hooked

#: 112	Function Name: NtNotifyChangeMultipleKeys
Status: Not hooked

#: 111	Function Name: NtNotifyChangeKey
Status: Not hooked

#: 110	Function Name: NtNotifyChangeDirectoryFile
Status: Not hooked

#: 109	Function Name: NtModifyBootEntry
Status: Not hooked

#: 108	Function Name: NtMapViewOfSection
Status: Not hooked

#: 107	Function Name: NtMapUserPhysicalPagesScatter
Status: Not hooked

#: 106	Function Name: NtMapUserPhysicalPages
Status: Not hooked

#: 105	Function Name: NtMakeTemporaryObject
Status: Not hooked

#: 104	Function Name: NtMakePermanentObject
Status: Not hooked

#: 103	Function Name: NtLockVirtualMemory
Status: Not hooked

#: 102	Function Name: NtLockRegistryKey
Status: Not hooked

#: 101	Function Name: NtLockProductActivationKeys
Status: Not hooked

#: 100	Function Name: NtLockFile
Status: Not hooked

#: 099	Function Name: NtLoadKey2
Status: Not hooked

#: 098	Function Name: NtLoadKey
Status: Not hooked

#: 097	Function Name: NtLoadDriver
Status: Not hooked

#: 096	Function Name: NtListenPort
Status: Not hooked

#: 095	Function Name: NtIsSystemResumeAutomatic
Status: Not hooked

#: 094	Function Name: NtIsProcessInJob
Status: Not hooked

#: 093	Function Name: NtInitiatePowerAction
Status: Not hooked

#: 092	Function Name: NtInitializeRegistry
Status: Not hooked

#: 091	Function Name: NtImpersonateThread
Status: Not hooked

#: 090	Function Name: NtImpersonateClientOfPort
Status: Not hooked

#: 089	Function Name: NtImpersonateAnonymousToken
Status: Not hooked

#: 088	Function Name: NtGetWriteWatch
Status: Not hooked

#: 087	Function Name: NtGetPlugPlayEvent
Status: Not hooked

#: 086	Function Name: NtGetDevicePowerState
Status: Not hooked

#: 085	Function Name: NtGetContextThread
Status: Not hooked

#: 084	Function Name: NtFsControlFile
Status: Not hooked

#: 083	Function Name: NtFreeVirtualMemory
Status: Not hooked

#: 082	Function Name: NtFreeUserPhysicalPages
Status: Not hooked

#: 081	Function Name: NtFlushWriteBuffer
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaeaa0

#: 080	Function Name: NtFlushVirtualMemory
Status: Not hooked

#: 079	Function Name: NtFlushKey
Status: Not hooked

#: 078	Function Name: NtFlushInstructionCache
Status: Not hooked

#: 077	Function Name: NtFlushBuffersFile
Status: Not hooked

#: 076	Function Name: NtFindAtom
Status: Not hooked

#: 075	Function Name: NtFilterToken
Status: Not hooked

#: 074	Function Name: NtExtendSection
Status: Not hooked

#: 073	Function Name: NtEnumerateValueKey
Status: Not hooked

#: 072	Function Name: NtEnumerateSystemEnvironmentValuesEx
Status: Not hooked

#: 071	Function Name: NtEnumerateKey
Status: Not hooked

#: 070	Function Name: NtEnumerateBootEntries
Status: Not hooked

#: 069	Function Name: NtDuplicateToken
Status: Not hooked

#: 067	Function Name: NtDisplayString
Status: Not hooked

#: 066	Function Name: NtDeviceIoControlFile
Status: Not hooked

#: 064	Function Name: NtDeleteObjectAuditAlarm
Status: Not hooked

#: 062	Function Name: NtDeleteFile
Status: Not hooked

#: 061	Function Name: NtDeleteBootEntry
Status: Not hooked

#: 060	Function Name: NtDeleteAtom
Status: Not hooked

#: 059	Function Name: NtDelayExecution
Status: Not hooked

#: 058	Function Name: NtDebugContinue
Status: Not hooked

#: 056	Function Name: NtCreateWaitablePort
Status: Not hooked

#: 055	Function Name: NtCreateToken
Status: Not hooked

#: 054	Function Name: NtCreateTimer
Status: Not hooked

#: 052	Function Name: NtCreateSymbolicLinkObject
Status: Not hooked

#: 051	Function Name: NtCreateSemaphore
Status: Not hooked

#: 050	Function Name: NtCreateSection
Status: Not hooked

#: 049	Function Name: NtCreateProfile
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb24c2

#: 046	Function Name: NtCreatePort
Status: Not hooked

#: 045	Function Name: NtCreatePagingFile
Status: Not hooked

#: 044	Function Name: NtCreateNamedPipeFile
Status: Not hooked

#: 043	Function Name: NtCreateMutant
Status: Not hooked

#: 042	Function Name: NtCreateMailslotFile
Status: Not hooked

#: 041	Function Name: NtCreateKey
Status: Not hooked

#: 040	Function Name: NtCreateJobSet
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcae9b0

#: 039	Function Name: NtCreateJobObject
Status: Not hooked

#: 038	Function Name: NtCreateIoCompletion
Status: Not hooked

#: 036	Function Name: NtCreateEventPair
Status: Not hooked

#: 034	Function Name: NtCreateDirectoryObject
Status: Not hooked

#: 033	Function Name: NtCreateDebugObject
Status: Not hooked

#: 032	Function Name: NtContinue
Status: Not hooked

#: 031	Function Name: NtConnectPort
Status: Not hooked

#: 030	Function Name: NtCompressKey
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaee80

#: 029	Function Name: NtCompleteConnectPort
Status: Not hooked

#: 028	Function Name: NtCompareTokens
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf630

#: 027	Function Name: NtCompactKeys
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaec80

#: 026	Function Name: NtCloseObjectAuditAlarm
Status: Not hooked

#: 025	Function Name: NtClose
Status: Not hooked

#: 024	Function Name: NtClearEvent
Status: Not hooked

#: 023	Function Name: NtCancelTimer
Status: Not hooked

#: 022	Function Name: NtCancelIoFile
Status: Not hooked

#: 021	Function Name: NtCancelDeviceWakeupRequest
Status: Not hooked

#: 020	Function Name: NtCallbackReturn
Status: Not hooked

#: 018	Function Name: NtAreMappedFilesTheSame
Status: Not hooked

#: 016	Function Name: NtAllocateUuids
Status: Not hooked

#: 015	Function Name: NtAllocateUserPhysicalPages
Status: Not hooked

#: 014	Function Name: NtAllocateLocallyUniqueId
Status: Not hooked

#: 013	Function Name: NtAlertThread
Status: Not hooked

#: 012	Function Name: NtAlertResumeThread
Status: Not hooked

#: 011	Function Name: NtAdjustPrivilegesToken
Status: Not hooked

#: 010	Function Name: NtAdjustGroupsToken
Status: Not hooked

#: 009	Function Name: NtAddBootEntry
Status: Not hooked

#: 008	Function Name: NtAddAtom
Status: Not hooked

#: 007	Function Name: NtAccessCheckByTypeResultListAndAuditAlarmByHandle
Status: Not hooked

#: 006	Function Name: NtAccessCheckByTypeResultListAndAuditAlarm
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf000

#: 005	Function Name: NtAccessCheckByTypeResultList
Status: Not hooked

#: 004	Function Name: NtAccessCheckByTypeAndAuditAlarm
Status: Not hooked

#: 003	Function Name: NtAccessCheckByType
Status: Not hooked

#: 002	Function Name: NtAccessCheckAndAuditAlarm
Status: Not hooked

#: 001	Function Name: NtAccessCheck
Status: Not hooked

#: 000	Function Name: NtAcceptConnectPort
Status: Not hooked

kira · 29.03.2011, 15:44

Zitat:

Zitat von Prevof

Hab ein Tool gefunden Namens RootReveal. Hab damit mal Files und SSDT gescannt! Vielleicht hilft das dir!

Anscheinend hast Du meinen Text oben nicht gelesen? :-> http://www.trojaner-board.de/96917-f...tml#post633856

Zitat:

Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.

also wenn Du alles besser weißt, wieso fragst Du dann uns hier?

Prevof · 29.03.2011, 19:19

Sorry für mein Vorgehen. Ich hoffe du verzeihst mir nochmal.
Ich möchte halt schnell den Virus los werden ... hab gedacht vielleicht hilft dir das Programm.

Ab jetzt werde ich nurnoch deine Tipps befolgen.

kira · 30.03.2011, 08:20

ist schon in Ordnung, aber leider habe schlechte Nachrichten für Dich!

Zitat:

Zitat von Prevof

Mir ist aufgefallen, dass dieser "mgr" sich auch unter anderen Namen versteckt.

Das wären:

- explorermgr.exe
- combatarmsmgr.exe (Spiel)
- freeyoutubetomp3convertermgr.exe (Sinnlos???)
- firefoxmgr.exe
- gjbfbass.exe (Mit Unlocker deinstalliert, wieder da...)

Und noch ein paar andere ...

Zur Info:

Zitat:

Computerwurms W32/Ramnit.
Der Infektionsweg erfolgt über infizierte ausführbare Dateien und mit VisualBasic "angereicherte" HTML-Dateien.

Sobald der Computerwurm aktiviert wird, beginnt er sich zu vermehren: Er erstellt in dem Verzeichnis, in dem er ausgeführt wird eine neue Datei namens "Mgr.exe", die ihrerseits ausgeführt wird und sich unter dem Dateinamen "WaterMark.exe" nach "C:\%ProgramDir%\Microsoft\" kopiert und ebenfalls ausgeführt wird. Erst jetzt beginnt der Wurm PE-Dateien und HTML-Dateien auf dem System zu suchen und zu infizieren. Bei der Infektion von HTML-Dateien injiziert er an das Ende der Datei (hinter das -Tag ein VBScript, das ein Stück Malware auf dem Zielcomputer ablegt: svchost.exe. Vom Namen her ein alter Bekannter, allerdings nicht in seinem angestammten Verzeichnis, sondern im Temp-Verzeichnis des angemeldeten Benutzers. Die falsche svchost.exe wird dann über den Windows Scripting Host gestartet.

W32/Ramnit.C wäre kein richtiger Wurm, würde er nicht gelegentlich nach Hause telefonieren um nach dem Rechten zu fragen. In diesem Fall nutzt er in der Regel Port 443, der normalerweise für HTTPS-Verbindungen verwendet wird und daher bei den meisten Firewalls nicht geschlossen ist. Da das allein aber oftmals nicht vor Entdeckung schützt, injiziert sich der Wurm auch in eine versteckte Instanz des Internet Explorers, um so unentdeckt Kontakt mit seinem Command und Control Server aufzunehmen.

- Der Infektionsweg erfolgt über infizierte ausführbare Dateien und mit VisualBasic "angereicherte" HTML-Dateien. Wenn eine Datei ausgeführt wird, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. Verbreitet sich auf diese Weise sehr schnell im Dateisystem.

- Jede Behauptung zur Behandlung oder Heilung ein durch File-Infector befallenen Computer, ist nur eine irrige Behauptung! Sobald der Computerwurm aktiviert wird, erfasst wohl jede Art von startenden Programmen! Sind da keine Ausnahme natürlich auch Antivirusprogramme, Firewall, Browser, C:\I386 etc
So zu sagen das gesamte System ist schon infiziert!
- Also statt Systemreinigung, der vorgeschlagenen Maßnahmen: Format C und Neuinstallation von Windows - um sicher zu gehen, keine Daten sichern. Reine Daten-Dokumente – insbesonders Bilddateien (und Office-Dokumente) – können ausführbaren Code enthalten und somit gefährlich sein
Wenn Du auch noch externe Medien wie USB-Stick oder eine externe Festplatte usw hast, solltest auch miteinbeziehen, da die Gefähr zu gross, dass da all diese Datenträger auch bereits befallen sind und be anschließen wird dein PC wieder infiziert. Eine einzige infizierte Datei reicht aus, das neu aufgesetze System wieder komplett lahmzulegen!

Prevof · 30.03.2011, 16:45

Nun, also kein einziges Virenprogramm findet den Ramnit nicht mehr ... Ich hab auch keine weiteren Dateien gefunden, außer die von dem (verdammten) SpyEye ...

Malwarebytes hat ja Ramnit gelöscht, danach hat er ja überhaupt nichts mehr gefunden! Auch meiner anderen Tools finden nix mehr ... und den SpyEye können sie anscheinend wegen dem Rootkit nicht finden. Er findet ja nur die "gjpfbass.exe", die zum Virus gehört. Ich hab schon tausende Methoden versucht, diese zu löschen aber sie öffnet sich immer wieder. Der soll ja den Registryeintrag "Run" verändert haben. Die Datei befindet sich (mit einem Ordner) auf C:/Program Files/xdbpqajc

Ich habe auch keine Mgr.exe oder WaterMark.exe gefunden, nur "Herr SpyEye" hat sich in die ganzen Programme, die ich starte, reingenistet (Was ich nicht verstehe, der will doch eigt. nur die OnlineBankingDaten haben ...) ... den Internet Explorer benutze ich nicht.

Können wir riskieren, weiterzumachen und versuchen, den SpyEye zu "killen"?

Eine Neuinstallation ist sehr umständlich für mich, da ich danach wieder Spiele (Insgesamt über 30 GB) und Dateien (Sind sehr wichtige dabei) erstellen / downloaden muss. Aber wenn es nicht anders geht, mache ich das natürlich.

Gruß,
Prevof

kira · 31.03.2011, 05:38

Zitat:

Zitat von Prevof

Nun, also kein einziges Virenprogramm findet den Ramnit nicht mehr ...

Malwarebytes hat ja Ramnit gelöscht, danach hat er ja überhaupt nichts mehr gefunden! Auch meiner anderen Tools finden nix mehr ...

das hat noch keine Bedeutung, versteckt..verborgen, unbekannt...dann finden sie natürlich auch nicht.

Zitat:

Zitat von Prevof

Mir ist aufgefallen, dass dieser "mgr" sich auch unter anderen Namen versteckt.

Das wären:

- explorermgr.exe
- combatarmsmgr.exe (Spiel)
- freeyoutubetomp3convertermgr.exe (Sinnlos???)
- firefoxmgr.exe
- gjbfbass.exe (Mit Unlocker deinstalliert, wieder da...) <- sieht nach Vundo-Rootkit aus

beste Beweis dafür, dass einige..viele..alle (weil ja normalerweise alles was startet wird gleich erfasst)? Dateien bereits befallen sind

Zitat:

Zitat von Prevof

und den SpyEye können sie anscheinend wegen dem Rootkit nicht finden.

Ahja...Rootkit, ist das versteckte Gefahr! Das ist mittlerweile sehr populären Wort im Computerleben. Nämlich Rootkits besitzen die Fähigkeiten, schädliche Dateien und Prozesse so zu verstecken, dass wir, Spezialtools und auch das Antivirenprogramm scheitert, denn unsichtbare Dateien können sie nicht scannen bzw "sehen" können!

Zitat:

Zitat von Prevof

Ich habe auch keine Mgr.exe oder WaterMark.exe gefunden

Natürlich die Dateinamen ändern sich ständig, gestern war noch mittwoch.exe, heute donnerstag.exe...

Zitat:

Zitat von Prevof

Können wir riskieren, weiterzumachen und versuchen, den SpyEye zu "killen"?

Wir können natürlich einen Versuch starten

Zitat:

Zitat von Prevof

Eine Neuinstallation ist sehr umständlich für mich, da ich danach wieder Spiele (Insgesamt über 30 GB) und Dateien (Sind sehr wichtige dabei) erstellen / downloaden muss.

Irgendwann muss das sein! Früher oder später ist bei jedem Computer eine Neuinstallation fällig. Entweder wegen einem Viren/Spywarebefall, oder weil das installierte Betriebssystem mit der Zeit einfach zu langsam geworden ist zugemühlt. Eine Festplatte hält halt auch nicht ewig!

- Also machen wir dann weiter? Wenn Du das Glück hast, können wir dein System einigermaßen gut hinzukriegen, aber dein Speicher wird 100%ig nie sauber!
- Was ist Datenträger "i"?

firefoxmgr.exe öffnet mehrmals FireFox!

Plagegeister aller Art und deren Bekämpfung: firefoxmgr.exe öffnet mehrmals FireFox!