Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System nach Antivirus XP 2008 (https://www.trojaner-board.de/60070-system-antivirus-xp-2008-a.html)

Düsenflieger 17.09.2008 13:47
System nach Antivirus XP 2008
 
Hallo erstmal zusammen,

hatte mir vorgestern den Antivirus XP 2008 eingefangen und habe darauf hin mal mein ganzes System mit Avira und Malewarebytes untersucht, wobei auch noch ein paar andere Plagegeister zum Vorschein kamen. Habe soweit alles gefährlich entfernt und habe bisher auch keine weiteren Probleme mehr mit meinem System. Da ich mich aber in der weiten Welt der Viren,Trojaner und was es da sonst noch alles so gibt nicht besonders gut auskenne, wollte ich einfach jetzt noch einmal mein Hijack Log posten und würde mich sehr freuen, wenn da mal einer von Euch drüber schauen könnte, ob sich da vielleicht doch noch etwas versteckt hat bzw. ob es dort irgendwo Handlungsbedarf gibt.
Bedanke mich schon einmal im Voraus.

MFG

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1163
Windows 5.1.2600 Service Pack 2

09/17/2008 2:28:22 AM
mbam-log-2008-09-17 (02-28-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 256253
Laufzeit: 1 hour(s), 1 minute(s), 46 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
D:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

Infizierte Speichermodule:
D:\WINDOWS\system32\blphc1ncj0e3f7.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1ncj0e3f7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc5ncj0e3f7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
D:\WINDOWS\system32\blphc1ncj0e3f7.scr (Trojan.FakeAlert) -> Delete on reboot.
D:\WINDOWS\system32\lphc1ncj0e3f7.exe (Trojan.FakeAlert) -> Delete on reboot.
D:\WINDOWS\system32\phc1ncj0e3f7.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Hijack danach:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:24:28 PM, on 09/17/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\brss01a.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\ICQ6Toolbar\ICQ Service.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\tcpsvcs.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\Logitech\G-series Software\LGDCore.exe
D:\Programme\Logitech\G-series Software\LCDMon.exe
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Programme\Java\jre1.5.0_11\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
D:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Veoh Networks\Veoh\VeohClient.exe
D:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
D:\Programme\Brother\Brmfcmon\BrMfcmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
D:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
H:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] D:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "D:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] D:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] D:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ATICustomerCare] "D:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Veoh] "D:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [BitTorrent] "D:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized (User 'postgres')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 (User 'postgres')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = D:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h**p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - D:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

--
End of file - 10970 bytes

schrauber 17.09.2008 15:28
hi Düsenflieger und :hallo:




Zitat:
D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot
nicht schön :o


um sicher zu gehen müsstest du noch das machen:

  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus.
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn

====

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise
  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
    die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
  • Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
  • Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
    .
    http://i266.photobucket.com/albums/ii277/sUBs_/RC1.gif
    .
  • Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.
Anwendung
  • Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
  • Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
  • Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
  • Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
  • Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
  • Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
  • Poste den Inhalt des Combofix-Logfiles hier in den Thread.
Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Düsenflieger 17.09.2008 16:31
So dann hier das Update:

1) SDFix: Der scheint wohl dieses "D:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent)" nochmal gefunden zu haben, soweit ich das beurteilen kann:

Code:
SDFix: Version 1.226
Run by Besitzer on 09/17/2008 at 04:47 PM

Microsoft Windows XP [Version 5.1.2600]
Running From: D:\Dokumente und Einstellungen\Besitzer\Desktop\SDFix

Checking Services :

Rootkit Found :
D:\WINDOWS\system32\drivers\tdssserv.sys - Rootkit.Win32.Agent.cku

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSserv.sys

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\.ttD40.tmp.exe - Deleted
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\.ttD4B.tmp.exe - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD3D.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD40.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD4B.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD51.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD53.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD56.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD5A.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD62.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD68.tmp - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD40.tmp.exe - Deleted
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\.ttD4B.tmp.exe - Deleted
D:\WINDOWS\system32\drivers\tdssserv.sys  - Deleted





Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 16:58:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:12263b0f
"s2"=dword:9dd979e4
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:3d,97,34,63,23,9e,e1,21,3d,c0,f8,80,6c,6f,2f,e6,fb,10,8a,bc,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8a,f9,b6,42,13,ef,0b,60,9e,ce,9e,0b,7a,ae,dd,bd,ac,..
"khjeh"=hex:9b,0f,46,a8,9d,a8,cf,a4,d0,1a,c6,5d,9d,e6,44,ba,38,ed,2c,49,26,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:a5,94,79,96,b6,54,41,96,40,9d,71,f2,fb,57,81,02,be,37,68,3f,46,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:3d,97,34,63,23,9e,e1,21,3d,c0,f8,80,6c,6f,2f,e6,fb,10,8a,bc,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8a,f9,b6,42,13,ef,0b,60,9e,ce,9e,0b,7a,ae,dd,bd,ac,..
"khjeh"=hex:9b,0f,46,a8,9d,a8,cf,a4,d0,1a,c6,5d,9d,e6,44,ba,38,ed,2c,49,26,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:a5,94,79,96,b6,54,41,96,40,9d,71,f2,fb,57,81,02,be,37,68,3f,46,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\Valve\\Steam\\SteamApps\\warsaver@yahoo.de\\counter-strike source\\hl2.exe"="D:\\Programme\\Valve\\Steam\\SteamApps\\warsaver@yahoo.de\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"D:\\Programme\\Anno 1701\\Anno1701.exe"="D:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"D:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"="D:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\WoW-enGB-Installer-downloader.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\WoW-enGB-Installer-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"="D:\\Programme\\World of Warcraft\\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\WoW-Language-Pack-enGB-downloader.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\WoW-Language-Pack-enGB-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe"="D:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Programme\\BitTorrent\\bittorrent.exe"="D:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"D:\\Programme\\World of Warcraft\\WoW-2.0.6.6337-to-2.0.7.6383-deDE-downloader.exe"="D:\\Programme\\World of Warcraft\\WoW-2.0.6.6337-to-2.0.7.6383-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Programme\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-deDE-downloader.exe"="D:\\Programme\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\WINDOWS\\system32\\dpvsetup.exe"="D:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
"D:\\WINDOWS\\system32\\rundll32.exe"="D:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Eine DLL-Datei als Anwendung ausfhren"
"D:\\Programme\\NAMCO BANDAI Games\\Warhammer Mark of Chaos DEMO\\Warhammer_DEMO.exe"="D:\\Programme\\NAMCO BANDAI Games\\Warhammer Mark of Chaos DEMO\\Warhammer_DEMO.exe:*:Enabled:Warhammer©: Mark of ChaosT Single Player Demo"
"D:\\Programme\\eMule.de 0.46c v17\\emule.exe"="D:\\Programme\\eMule.de 0.46c v17\\emule.exe:*:Enabled:eMule"
"D:\\Programme\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-deDE-downloader.exe"="D:\\Programme\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-deDE-downloader.exe:*:Disabled:Blizzard Downloader"
"D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\GOA-DAoC-DarknessRising-update180-BT.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\GOA-DAoC-DarknessRising-update180-BT.exe:*:Enabled:GOA Downloader"
"D:\\Programme\\Electronic Arts\\The Battle for Middle-earth (tm) II\\game.dat"="D:\\Programme\\Electronic Arts\\The Battle for Middle-earth (tm) II\\game.dat:*:Enabled:The Battle for Middle-earth(tm) II"
"D:\\Programme\\Valve\\Steam\\SteamApps\\warsaver@yahoo.de\\counter-strike\\hl.exe"="D:\\Programme\\Valve\\Steam\\SteamApps\\warsaver@yahoo.de\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main.exe"="D:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"
"D:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="D:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"
"D:\\Programme\\Atari\\Neverwinter Nights 2\\nwupdate.exe"="D:\\Programme\\Atari\\Neverwinter Nights 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"
"D:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2server.exe"="D:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"
"D:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="D:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"
"D:\\Programme\\Starcraft\\StarCraft.exe"="D:\\Programme\\Starcraft\\StarCraft.exe:*:Enabled:Starcraft"
"D:\\Programme\\Flagship Studios\\Hellgate London Demo\\Launcher.exe"="D:\\Programme\\Flagship Studios\\Hellgate London Demo\\Launcher.exe:*:Enabled:Hellgate: London"
"D:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"="D:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe:*:Enabled:Unreal Tournament 3 Demo"
"D:\\WINDOWS\\system32\\PnkBstrA.exe"="D:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"D:\\WINDOWS\\system32\\PnkBstrB.exe"="D:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"D:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"="D:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe:*:Enabled:Hellgate: London"
"D:\\Programme\\Electronic Arts\\The Battle for Middle-earth (tm) II\\patchget.dat"="D:\\Programme\\Electronic Arts\\The Battle for Middle-earth (tm) II\\patchget.dat:*:Enabled:patchgrabber"
"D:\\Programme\\mIRC\\mirc.exe"="D:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"D:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"="D:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"D:\\Programme\\Real\\RealPlayer\\realplay.exe"="D:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"D:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPad.exe"="D:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPad.exe:*:Enabled:LaunchPad"
"D:\\Programme\\Mozilla Firefox\\firefox.exe"="D:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"D:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"="D:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe:*:Enabled:Age of Empires III"
"D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.140\\wtvClient.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.140\\wtvClient.exe:*:Enabled:wtvClient"
"D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.687\\wtvClient.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.687\\wtvClient.exe:*:Enabled:wtvClient"
"D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.781\\wtvClient.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.781\\wtvClient.exe:*:Enabled:wtvClient"
"D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.938\\wtvClient.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Temp\\Rar$EX00.938\\wtvClient.exe:*:Enabled:wtvClient"
"D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe:*:Enabled:Main program for Octoshape client"
"D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\wtvClient.exe"="D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\wtvClient.exe:*:Enabled:wtvClient"
"D:\\Programme\\Skype\\Phone\\Skype.exe"="D:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"D:\\WINDOWS\\system32\\drivers\\svchost.exe"="D:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - D:\DOKUME~1\Besitzer\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 11 Mar 2007        4,348 ..SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 11 Mar 2007            0 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Mon 21 Jul 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL0595.tmp"
Tue  8 Jul 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1084.tmp"
Mon 16 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1139.tmp"
Tue 10 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1380.tmp"
Thu  5 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1637.tmp"
Fri 13 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1696.tmp"
Mon  9 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1718.tmp"
Sun  6 Jul 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1974.tmp"
Wed 11 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL1981.tmp"
Thu 24 Jan 2008      448,512 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL2116.tmp"
Mon 21 Jan 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL2375.tmp"
Tue  8 Apr 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL2590.tmp"
Sat 14 Jul 2007        48,640 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL2764.tmp"
Mon 21 Jan 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL2859.tmp"
Sun 15 Jul 2007        48,640 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL3065.tmp"
Thu 26 Jun 2008        49,152 ...H. --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Word\~WRL3881.tmp"
Fri  4 Apr 2008          857 ...HR --- "D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Thu 24 Jan 2008      510,464 A..H. --- "D:\Dokumente und Einstellungen\Besitzer\Desktop\Desktop-Dateien\FACHARBEIT\~WRL2136.tmp"

Finished!

Düsenflieger 17.09.2008 16:34
2) ComboFix:

Code:
ComboFix 08-09-16.05 - Besitzer 2008-09-17 17:19:56.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1440 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: D:\Dokumente und Einstellungen\Besitzer\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
D:\Autorun.inf
D:\WINDOWS\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb

.
(((((((((((((((((((((((  Dateien erstellt von 2008-08-17 bis 2008-09-17  ))))))))))))))))))))))))))))))
.

2008-09-17 16:43 . 2008-09-17 16:43        <DIR>        d--------        D:\WINDOWS\ERUNT
2008-09-17 16:38 . 2006-10-06 13:02        <DIR>        d--h-----        D:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-17 16:38 . 2006-10-06 13:52        <DIR>        dr-------        D:\Dokumente und Einstellungen\Administrator\Startmen
2008-09-17 16:38 . 2006-10-06 13:52        <DIR>        d--h-----        D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-17 16:38 . 2008-09-17 17:20        <DIR>        d--h-----        D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-17 16:38 . 2006-10-06 13:52        <DIR>        d--------        D:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-17 16:38 . 2006-10-06 13:52        <DIR>        d--h-----        D:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-17 16:38 . 2006-10-06 13:52        <DIR>        dr-h-----        D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-17 16:38 . 2008-09-17 16:38        <DIR>        d--------        D:\Dokumente und Einstellungen\Administrator
2008-09-17 01:18 . 2008-09-17 01:18        <DIR>        d--------        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-09-17 01:17 . 2008-09-17 01:19        <DIR>        d--------        D:\Programme\Malwarebytes' Anti-Malware
2008-09-17 01:17 . 2008-09-17 01:17        <DIR>        d--------        D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-17 01:17 . 2008-09-10 00:04        38,528        --a------        D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-17 01:17 . 2008-09-10 00:03        17,200        --a------        D:\WINDOWS\system32\drivers\mbam.sys
2008-09-04 22:15 . 2008-09-04 22:15        <DIR>        d--------        D:\Programme\Paradox Interactive
2008-09-02 17:04 . 2008-09-17 01:58        <DIR>        d--------        D:\WINDOWS\system32\CatRoot_bak
2008-09-02 17:03 . 2008-06-14 19:57        273,024        ---------        D:\WINDOWS\system32\drivers\bthport.sys
2008-09-02 17:03 . 2008-06-14 19:57        273,024        -----c---        D:\WINDOWS\system32\dllcache\bthport.sys
2008-09-02 16:54 . 2008-09-02 16:54        8,294,454        --a------        D:\WINDOWS\startup.bmp
2008-09-02 16:54 . 2006-02-28 14:00        219,648        --a------        D:\WINDOWS\system32\uxtheme.backup
2008-09-02 16:48 . 2008-09-02 16:54        <DIR>        d--------        D:\WINDOWS\VistaMizer
2008-08-31 18:59 . 2008-05-30 14:11        1,491,992        --a------        D:\WINDOWS\system32\D3DCompiler_38.dll
2008-08-31 18:59 . 2008-05-30 14:19        507,400        --a------        D:\WINDOWS\system32\XAudio2_1.dll
2008-08-31 18:59 . 2008-05-30 14:11        467,984        --a------        D:\WINDOWS\system32\d3dx10_38.dll
2008-08-31 18:59 . 2008-05-30 14:18        238,088        --a------        D:\WINDOWS\system32\xactengine3_1.dll
2008-08-31 18:59 . 2008-05-30 14:17        65,032        --a------        D:\WINDOWS\system32\XAPOFX1_0.dll
2008-08-31 18:59 . 2008-05-30 14:17        25,608        --a------        D:\WINDOWS\system32\X3DAudio1_4.dll
2008-08-31 18:58 . 2008-05-30 14:11        3,850,760        --a------        D:\WINDOWS\system32\D3DX9_38.dll
2008-08-31 18:57 . 2008-08-31 18:57        <DIR>        d--------        D:\WINDOWS\Logs

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 14:14        ---------        d-----w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Lavasoft
2008-09-17 14:05        ---------        d-----w        D:\Programme\Warcraft III
2008-09-17 10:34        ---------        d-----w        D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-17 00:30        ---------        d--h--w        D:\Programme\InstallShield Installation Information
2008-09-17 00:30        ---------        d-----w        D:\Programme\FlashGet
2008-09-15 09:48        ---------        d-----w        D:\Programme\Gothic III
2008-09-13 01:13        ---------        d-----w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-09-05 10:02        43,520        ----a-w        D:\WINDOWS\system32\CmdLineExt03.dll
2008-09-02 14:54        219,648        ----a-w        D:\WINDOWS\system32\uxtheme.dll
2008-08-31 16:53        ---------        d-----w        D:\Programme\Ubisoft
2008-08-29 10:34        ---------        d-----w        D:\Programme\ICQ6
2008-08-23 12:20        ---------        d-----w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mIRC
2008-08-20 02:33        ---------        d-----w        D:\Programme\mIRC
2008-08-17 14:58        ---------        d-----w        D:\Programme\Poker Tracker V2
2008-08-12 22:06        ---------        d---a-w        D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-11 16:18        ---------        d-----w        D:\Programme\GIGA Lupe 2007 Beta 2
2008-08-11 15:15        ---------        d-----w        D:\Programme\PostgreSQL
2008-08-11 14:57        ---------        d-----w        D:\Programme\PokerTracker 3
2008-08-08 12:56        ---------        d-----w        D:\Programme\DivX
2008-08-01 11:40        ---------        d-----w        D:\Programme\Diablo II
2008-07-29 09:44        ---------        d-----w        D:\Programme\Starcraft
2008-07-28 10:03        ---------        d-----w        D:\Programme\PartyGaming
2008-07-27 11:02        107,888        ----a-w        D:\WINDOWS\system32\CmdLineExt.dll
2008-07-27 11:02        ---------        d-----w        D:\Programme\Electronic Arts
2008-07-27 11:02        ---------        d-----w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SPORE Creature Creator
2008-07-27 09:07        ---------        d-----w        D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GRETECH
2008-07-27 09:06        ---------        d-----w        D:\Programme\GRETECH
2008-07-27 09:06        ---------        d-----w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GRETECH
2008-07-26 12:11        ---------        d-----w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-07-25 08:36        524,288        ----a-w        D:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50        3,596,288        ----a-w        D:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48        200,704        ----a-w        D:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48        1,044,480        ----a-w        D:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46        12,288        ----a-w        D:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10        94,920        ----a-w        D:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        D:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        D:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        D:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        D:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        D:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        D:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        D:\WINDOWS\system32\wuaueng.dll
2008-07-09 15:18        21,840        ----a-w        D:\WINDOWS\system32\SIntfNT.dll
2008-07-09 15:18        17,212        ----a-w        D:\WINDOWS\system32\SIntf32.dll
2008-07-09 15:18        12,067        ----a-w        D:\WINDOWS\system32\SIntf16.dll
2008-07-09 15:12        2,829        ----a-w        D:\WINDOWS\DIIUnin.pif
2008-07-09 15:12        102,400        ----a-w        D:\WINDOWS\DIIUnin.exe
2008-07-07 20:30        253,952        ----a-w        D:\WINDOWS\system32\es.dll
2008-06-24 16:22        74,240        ----a-w        D:\WINDOWS\system32\mscms.dll
2008-06-23 15:38        665,088        ----a-w        D:\WINDOWS\system32\wininet.dll
2008-06-20 17:39        247,296        ----a-w        D:\WINDOWS\system32\mswsock.dll
2007-10-25 11:57        22,328        ----a-w        D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
2007-05-11 14:32        92,064        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmmdm.sys
2007-05-11 14:32        9,232        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmmdfl.sys
2007-05-11 14:32        79,328        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmserd.sys
2007-05-11 14:32        66,656        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmbus.sys
2007-05-11 14:32        6,208        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmcmnt.sys
2007-05-11 14:32        5,936        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmwhnt.sys
2007-05-11 14:32        4,048        ----a-w        D:\Dokumente und Einstellungen\Besitzer\mqdmcr.sys
2007-05-11 14:32        25,600        ----a-w        D:\Dokumente und Einstellungen\Besitzer\usbsermptxp.sys
2007-05-11 14:32        22,768        ----a-w        D:\Dokumente und Einstellungen\Besitzer\usbsermpt.sys
.

------- Sigcheck -------

2008-04-14 04:23  513024  f09a527b422e25c478e38caa0e44417a        D:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\winlogon.exe
2006-02-28 14:00  546816  caef653d55cc8d7a173e4e63bc58d7f2        D:\WINDOWS\system32\winlogon.exe
2006-02-28 14:00  546816  caef653d55cc8d7a173e4e63bc58d7f2        D:\WINDOWS\system32\dllcache\winlogon.exe
2006-02-28 14:00  507392  2b6a0baf33a9918f09442d873848ff72        D:\WINDOWS\VistaMizer\old\winlogon.exe

2005-03-02 20:11  2059264  ae8364004bbfd70461d2ef34888d3360        D:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06  2061696  9b9ca27ad315c02b71510238574894b2        D:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2006-02-28 14:00  2017792  f8d35488d41b19a306a454ffc0ed0336        D:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 20:06  2017792  a3724446acb9de8d890cfabd146cd0ad        D:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        D:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2008-04-14 04:00  2068224  e51980ef65ced4490a7395a06c08da34        D:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ntkrnlpa.exe
2007-02-28 18:02  2275328  000755c310f384180abada2e4eae0560        D:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02  2275328  000755c310f384180abada2e4eae0560        D:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2007-02-28 18:02  2018304  9dc58c5bdedccb8298c8a2d6d4996ec4        D:\WINDOWS\VistaMizer\old\ntkrnlpa.exe

2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2        D:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19        D:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2006-02-28 14:00  2150912  c3ec5dd56e3eb15d80af9fcee030cabd        D:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 20:06  2138112  3ddc2bc3d32b2fc505d09b8b8974d5bb        D:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        D:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2008-04-14 04:00  2191360  354c9291513bce4d0ed6b0c6a15470f8        D:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ntoskrnl.exe
2007-02-28 18:02  2395648  18e019efc9ecf4bfd98733ef34b825b8        D:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02  2395648  18e019efc9ecf4bfd98733ef34b825b8        D:\WINDOWS\system32\dllcache\ntoskrnl.exe
2007-02-28 18:02  2138624  495d541a116e7f1b79ed9bd588f54a71        D:\WINDOWS\VistaMizer\old\ntoskrnl.exe

2007-06-13 15:21  1554944  14b0b1999fca97a232465246e5ce3f10        D:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56        D:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2006-02-28 14:00  1035264  22fe1be02eadde1632e478e4125639e0        D:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 04:22  1036800  418045a93cd87a352098ab7dabe1b53e        D:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\explorer.exe
2007-06-13 15:21  1554944  14b0b1999fca97a232465246e5ce3f10        D:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f        D:\WINDOWS\VistaMizer\old\explorer.exe

2008-04-14 04:22  15360  01b4e6e990b6c5ea8856d96c7fd044b2        D:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ctfmon.exe
2006-02-28 14:00  25088  99203e789da6e756ea34a8f836f4e99e        D:\WINDOWS\system32\ctfmon.exe
2006-02-28 14:00  25088  99203e789da6e756ea34a8f836f4e99e        D:\WINDOWS\system32\dllcache\ctfmon.exe
2006-02-28 14:00  15360  7ce20569925df6789c31799f0c538f29        D:\WINDOWS\VistaMizer\old\ctfmon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2006-02-28 25088]
"MSMSGS"="D:\Programme\Messenger\msmsgs.exe" [2004-10-13 1825792]
"Octoshape Streaming Services"="D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
"ICQ"="D:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]
"Veoh"="D:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-08-28 3660848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="D:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-06-23 847872]
"avgnt"="D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SmcService"="D:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"ISUSPM Startup"="D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"Launch LGDCore"="D:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="D:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"SSBkgdUpdate"="D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="D:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="D:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="D:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="D:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 75520]
"WinDVR SchSvr"="D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [2004-07-13 155648]
"IMJPMIG8.1"="D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]
"MSPY2002"="D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2006-02-28 59392]
"PHIME2002ASync"="D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"PHIME2002A"="D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-17 185896]
"Sony Ericsson PC Suite"="D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"ATICustomerCare"="D:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2007-10-04 307200]
"StartCCC"="D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 D:\WINDOWS\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=D:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=D:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
--a------ 2007-03-02 01:11 43008 D:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 12:48 157592 D:\Programme\DAEMON Tools\daemon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Valve\\Steam\\SteamApps\\warsaver@yahoo.de\\counter-strike source\\hl2.exe"=
"D:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"=
"D:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"D:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe"=
"D:\\Programme\\BitTorrent\\bittorrent.exe"=
"D:\\Programme\\World of Warcraft\\WoW-2.0.6.6337-to-2.0.7.6383-deDE-downloader.exe"=
"D:\\Programme\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-deDE-downloader.exe"=
"D:\\WINDOWS\\system32\\dpvsetup.exe"=
"D:\\Programme\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-deDE-downloader.exe"=
"D:\\Programme\\Electronic Arts\\The Battle for Middle-earth (tm) II\\game.dat"=
"D:\\Programme\\Valve\\Steam\\SteamApps\\warsaver@yahoo.de\\counter-strike\\hl.exe"=
"D:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"D:\\Programme\\Starcraft\\StarCraft.exe"=
"D:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"D:\\WINDOWS\\system32\\PnkBstrA.exe"=
"D:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"D:\\Programme\\Electronic Arts\\The Battle for Middle-earth (tm) II\\patchget.dat"=
"D:\\Programme\\mIRC\\mirc.exe"=
"D:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"D:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPad.exe"=
"D:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"D:\\Dokumente und Einstellungen\\Besitzer\\Lokale Einstellungen\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"D:\\Dokumente und Einstellungen\\Besitzer\\Desktop\\wtvClient.exe"=
"D:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 ICQ Service;ICQ Service;D:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;D:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 -D D:\Programme\PostgreSQL\8.3\data\ [ ]
S3 SkLaggProtocol;SysKonnect Link Aggregation Protocol (LAGG) Support;D:\WINDOWS\system32\DRIVERS\yk51lagg.sys [ ]
S3 SkVlanProtocol;SysKonnect Virtual LAN (VLAN) Support;D:\WINDOWS\system32\DRIVERS\skvlan.sys [2005-11-30 19328]
S3 w200bus;Sony Ericsson W200 driver (WDM);D:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;D:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;D:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);D:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;D:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 86368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\SETUP.EXE

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Steam - (no file)
MSConfigStartUp-BLASC - D:\Programme\buffed.de\Blasc\BLASC.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hutjd75l.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.pokerstrategy.com/home/
FF -: plugin - D:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF -: plugin - D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\octoprogram-L03-NMS0806260_SUA_900\npoctoshape.dll
FF -: plugin - D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\octoprogram-L03-NMS0808050_SUA_900\npoctoshape.dll
FF -: plugin - D:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPJava11.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPJava12.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPJava13.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPJava14.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPJava32.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPJPI150_11.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_11\bin\NPOJI610.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - D:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 17:21:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 17:23:17
ComboFix-quarantined-files.txt  2008-09-17 15:23:14

Vor Suchlauf: 10 Verzeichnis(se), 37,567,201,280 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 38,814,212,096 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

283        --- E O F ---        2008-09-14 11:12:04

schrauber 17.09.2008 16:41
malwarebytes updaten, komplettscan, funde löschen lassen, log posten.

===

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Browser öffnen und
  • Kaspersky Online Scanner ansurfen.
  • Die Datenschutzerklärung akzeptieren.
  • Die nötigen ActiveX-Steuerelemente installieren lassen.
  • Update der Signaturen installieren lassen => Weiter
  • Scan-Einstellungen => Standard wählen => OK
  • Link "Arbeitsplatz" anklicken
  • Scan beginnt automatisch
  • Untersuchung wurde abgeschlossen => Protokoll speichern als...
  • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
  • Logdatei hier posten.
  • Deinstallation
  • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
    => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>
Zitat:
Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

Düsenflieger 17.09.2008 18:41
Hier das Malwarebytes Log; Kaspersky folgt noch.

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1163
Windows 5.1.2600 Service Pack 2

09/17/2008 6:35:00 PM
mbam-log-2008-09-17 (18-35-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 210111
Laufzeit: 50 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Düsenflieger 17.09.2008 20:37
So Kaspersky jetzt auch durch und oha, hat doch noch bissl was gefunden:

Code:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Wednesday, September 17, 2008
 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Wednesday, September 17, 2008 16:43:09
 Records in database: 1245935
--------------------------------------------------------------------------------

Scan settings:
        Scan using the following database: extended
        Scan archives: yes
        Scan mail databases: yes

Scan area - My Computer:
        A:\
        C:\
        D:\
        E:\
        F:\
        G:\
        H:\

Scan statistics:
        Files scanned: 173501
        Threat name: 3
        Infected objects: 6
        Suspicious objects: 0
        Duration of the scan: 02:47:26


File name / Threat name / Threats count
D:\Dokumente und Einstellungen\Besitzer\Desktop\SDFix\backups\backups.zip        Infected: not-a-virus:FraudTool.Win32.XPAntivirus.sn        4
D:\Programme\DAEMON Tools\SetupDTSB.exe        Infected: not-a-virus:AdTool.Win32.WhenU.a        1
D:\Programme\mIRC\mirc.exe        Infected: not-a-virus:Client-IRC.Win32.mIRC.631        1

The selected area was scanned.

schrauber 18.09.2008 03:39
Code:
D:\Programme\DAEMON Tools\SetupDTSB.exe
bitte von hand löschen7

====

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

====

F-Secure Support-Seiten: F-Secure Online-Virenscanner

diesen onlinescan mit dem internet explorer machen, log posten

====

neues hjt-log

Düsenflieger 18.09.2008 13:09
so alles gemacht und hier sind die logs:

Code:
Scanning Report
Thursday, September 18, 2008 12:06:45 - 13:55:25

Computer name: HEAVEN
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 13 malware found
Client-IRC.Win32.mIRC (spyware)

    * System

TrackingCookie.2o7 (spyware)

    * System

TrackingCookie.Adtech (spyware)

    * System

TrackingCookie.Advertising (spyware)

    * System

TrackingCookie.Atdmt (spyware)

    * System

TrackingCookie.Atwola (spyware)

    * System

TrackingCookie.Doubleclick (spyware)

    * System

TrackingCookie.Mediaplex (spyware)

    * System

TrackingCookie.Questionmarket (spyware)

    * System

TrackingCookie.Tradedoubler (spyware)

    * System

TrackingCookie.Webtrends (spyware)

    * System

TrackingCookie.Yieldmanager (spyware)

    * System

TrackingCookie.Zanox (spyware)

    * System

Statistics
Scanned:

    * Files: 59160
    * System: 5528
    * Not scanned: 10

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * None: 13
    * Submitted: 0

Files not scanned:

    * D:\PAGEFILE.SYS
    * D:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
    * D:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * D:\WINDOWS\SYSTEM32\CONFIG\SAM
    * D:\WINDOWS\SYSTEM32\CONFIG\SECURITY
    * D:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
    * D:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
    * D:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB
    * D:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\ICQ\285789309\MESSAGES.MDB
    * D:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\ICQ\285789309\OWNER.MDB

Options
Scanning engines:

    * F-Secure USS: 2.30.0
    * F-Secure Blacklight: 2.2.1092
    * F-Secure Hydra: 2.8.8110, 2008-09-18
    * F-Secure Pegasus: 1.20.0, 2008-08-09
    * F-Secure AVP: 7.0.171, 2008-09-18

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
    * Use Advanced heuristics

      Copyright © 1998-2007 Product support |Send virus sample to F-Secure
      F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:58:56 PM, on 09/18/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\brsvc01a.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\brss01a.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\ICQ6Toolbar\ICQ Service.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\tcpsvcs.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\Logitech\G-series Software\LGDCore.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Logitech\G-series Software\LCDMon.exe
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Programme\Java\jre1.5.0_11\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
D:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Messenger\msmsgs.exe
D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
D:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Veoh Networks\Veoh\VeohClient.exe
D:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
D:\Programme\Brother\Brmfcmon\BrMfcmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
D:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
D:\Programme\internet explorer\iexplore.exe
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.prosieben.de/index.php?icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] D:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] D:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] D:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "D:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ATICustomerCare] "D:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Veoh] "D:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [BitTorrent] "D:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized (User 'postgres')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 (User 'postgres')
O4 - HKUS\S-1-5-21-484763869-1580436667-839522115-1009\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = D:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h**p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - D:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - D:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

--
End of file - 11365 bytes

schrauber 18.09.2008 14:59
starte hijackthis, klicke do a system scan only und setze einen haken vor folgende kästchen:

Code:
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
schliesse alle offenen fenster und klicke auf fix checked.

====

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Start => Programmzugriff und Standards => Programme ändern oder deinstallieren. Lösche nun folgende Ordner (falls noch vorhanden) und leere den Papierkorb, damit alle Reste der Vorgänger-Versionen entfernt werden:
  • C:\Programme\JAVA
  • C:\Windows\Sun
  • C:\Dokumente und Einstellungen\*Dein Benutzername*\Anwendungsdaten\Sun
  • C:\Dokumente und Einstellungen\*evtl. weiterer Benutzername*\Anwendungsdaten\Sun
  • Vista User = C:\Users\*dein Benutzername*\AppData\LocalLow\Sun
  • Achtung: nicht C:\Windows\Java
Starte den Rechner neu.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 7) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst.

===


clean :daumenhoc

Düsenflieger 18.09.2008 15:50
so alles erledigt.

Vielen Dank für die ganze kompetende Hilfe schrauber :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131