Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Warnmeldungen/bekomme sie nicht weg! (https://www.trojaner-board.de/61343-trojaner-warnmeldungen-bekomme-weg.html)

Esca 05.10.2008 11:51

Trojaner Warnmeldungen/bekomme sie nicht weg!
 
Hallo.


Bekomme seit ein paar Tagen die Seurity Fehler meldungen über 5 verschiedene Trojaner.Mein Antivir kann aber nix mehr finden .

Trojan-Clicker.Win32.Tiny.h
Trojan-Spy.Win32.GreenScreen
Trojan-Spy.HTML.Bankfraud.dq
Trojan-Downloader.Win32.Agent.bq
Trojan-Spy.Win32.KeyLogger.aa

Mein System:


Amd Athlon 64 X2 Dual
Core Processor 5000+
2.60 GHz ,2GB RAM
Windows XP SP 3
Antivir Personal (neuster stand)


Hier ist meine Logfile:


Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:36:07, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\netkbkfo.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxxxxx\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxxx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxxx://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxxxx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxx://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [genenset] C:\WINDOWS\system32\netkbkfo.exe
O4 - HKLM\..\Policies\Explorer\Run: [kREesRnnFw] C:\Dokumente und Einstellungen\xxxxxx\Eigene Dateien\AdobeFlashPlayerExt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxx://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208289888609
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - xxxxx://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O21 - SSODL: ActSys - {5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5113 bytes

Bin für jede Hilfe dankbar!

Sunny 05.10.2008 12:02

★★★ Hallo Esca und http://www.mysmilie.de/generator/ablage/156/257.png ★★★




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:

C:\WINDOWS\system32\netkbkfo.exe
C:\Dokumente und Einstellungen\xxxxxx\Eigene Dateien\AdobeFlashPlayerExt.exe
C:\Programme\jgrfqbg\ActSys.dll

  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Esca 05.10.2008 16:35

Danke für die schnelle Hilfe.

Die Datei AdobeFlashPlayerExt.exe konnte ich nicht ausfindig machen.

Scan der Datei netkbkfo.exe :

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.10.3.2        2008.10.03        -
AntiVir        7.8.1.34        2008.10.04        -
Authentium        5.1.0.4        2008.10.05        -
Avast        4.8.1248.0        2008.10.04        Win32:PureMorph
AVG        8.0.0.161        2008.10.05        -
BitDefender        7.2        2008.10.05        -
CAT-QuickHeal        9.50        2008.10.04        Win32.Trojan.Obfuscated.gx.3
ClamAV        0.93.1        2008.10.04        -
DrWeb        4.44.0.09170        2008.10.05        -
eSafe        7.0.17.0        2008.10.02        -
eTrust-Vet        31.6.6129        2008.10.04        -
Ewido        4.0        2008.10.05        -
F-Prot        4.4.4.56        2008.10.05        -
Fortinet        3.113.0.0        2008.10.04        W32/PolySmall.BP!tr
GData        19        2008.10.05        Win32:PureMorph
Ikarus        T3.1.1.34.0        2008.10.05        -
K7AntiVirus        7.10.484        2008.10.04        -
Kaspersky        7.0.0.125        2008.10.05        Trojan.Win32.Obfuscated.gx
McAfee        5398        2008.10.04        -
Microsoft        1.4005        2008.10.05        Trojan:Win32/Busky.EI
NOD32        3495        2008.10.04        a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman        5.80.02        2008.10.03        -
Panda        9.0.0.4        2008.10.05        -
PCTools        4.4.2.0        2008.10.05        -
Prevx1        V2        2008.10.05        Fraudulent Security Program
Rising        20.63.62.00        2008.09.28        -
SecureWeb-Gateway        6.7.6        2008.10.05        -
Sophos        4.34.0        2008.10.05        Mal/EncPk-DG
Sunbelt        3.1.1675.1        2008.09.27        -
Symantec        10        2008.10.05        -
TheHacker        6.3.1.0.101        2008.10.04        -
TrendMicro        8.700.0.1004        2008.10.03        TROJ_OBFUSCA.BWA
VBA32        3.12.8.6        2008.10.04        -
ViRobot        2008.10.4.1406        2008.10.04        -
VirusBuster        4.5.11.0        2008.10.04        -
weitere Informationen
File size: 114688 bytes
MD5...: dfd399db62d17db5cc96e9289260bb64
SHA1..: 07a5b792c080b77111d98d0b5dfb4d6b6c04a8e3
SHA256: 9e76212d8f0eefb8ee445581f9814ca77d306ba6ffb095dd193092913e4848d7
SHA512: f17b06a9e103943c90d11ada0eddf01fab375685ece61969c5cc2b8c9d0b52e6
5e3417c5858f26bcb78add76046c39aa35dd3f851a8657eeb924396dd5722283
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 5.0 (75.1%)
Win32 Executable Generic (10.5%)
Win32 Dynamic Link Library (generic) (9.3%)
Generic Win/DOS Executable (2.4%)
DOS Executable Generic (2.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401e95
timedatestamp.....: 0x48e4f095 (Thu Oct 02 16:02:29 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.bbnjg 0x1000 0x18fa4 0x19000 6.96 d55de59bccc9b186b3c372c1d264a16b
.hqrx 0x1a000 0x54c 0x1000 2.32 4a41d89a578a9a25ab4a62afa904c696
.mdgnwj 0x1b000 0x59c4 0x1000 0.56 acb47a3edf84b5bb69fdff7a72b0b771

( 2 imports )
> KERNEL32.dll: LoadResource, WaitForMultipleObjects, FindFirstFileW, FreeResource, ReadProcessMemory, ResumeThread, InterlockedDecrement, GetLastError, GetLogicalDrives, FindResourceW, LoadLibraryA, CancelWaitableTimer, GetLocalTime, SetThreadPriority, GlobalDeleteAtom, GetTickCount, GetProcAddress, GlobalFree, GetCurrentThread, CreateThread, GetPrivateProfileStringW, FreeLibrary, LoadLibraryW, DuplicateHandle, CreateProcessW, Sleep
> USER32.dll: RegisterHotKey, SetCapture, GetWindowThreadProcessId, LoadBitmapW, CreateWindowExW, LoadIconW, EndDialog, GetKeyState, FillRect, SetDlgItemTextW, DestroyIcon, GetWindowRect, IsDlgButtonChecked, SetCursorPos, DestroyMenu, DialogBoxParamW, ReleaseDC, RedrawWindow, PostMessageW, InvalidateRect, EnableWindow, GetParent, GetWindowTextW, TrackPopupMenu

( 0 exports )



Scan der Datei ActSys.dll :

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.10.3.2        2008.10.03        -
AntiVir        7.8.1.34        2008.10.04        -
Authentium        5.1.0.4        2008.10.05        -
Avast        4.8.1248.0        2008.10.04        Win32:PureMorph
AVG        8.0.0.161        2008.10.05        -
BitDefender        7.2        2008.10.05        -
CAT-QuickHeal        9.50        2008.10.04        -
ClamAV        0.93.1        2008.10.04        -
DrWeb        4.44.0.09170        2008.10.05        -
eSafe        7.0.17.0        2008.10.02        -
eTrust-Vet        31.6.6129        2008.10.04        -
Ewido        4.0        2008.10.05        -
F-Prot        4.4.4.56        2008.10.05        -
Fortinet        3.113.0.0        2008.10.04        -
GData        19        2008.10.05        Win32:PureMorph
Ikarus        T3.1.1.34.0        2008.10.05        -
K7AntiVirus        7.10.484        2008.10.04        -
Kaspersky        7.0.0.125        2008.10.05        Trojan.Win32.Obfuscated.gx
McAfee        5398        2008.10.04        -
Microsoft        1.4005        2008.10.05        -
NOD32        3495        2008.10.04        -
Norman        5.80.02        2008.10.03        -
Panda        9.0.0.4        2008.10.05        -
PCTools        4.4.2.0        2008.10.05        -
Rising        20.63.62.00        2008.09.28        -
SecureWeb-Gateway        6.7.6        2008.10.05        -
Sophos        4.34.0        2008.10.05        Mal/EncPk-DG
Sunbelt        3.1.1675.1        2008.09.27        Win32.HdrPatch.gen (v)
Symantec        10        2008.10.05        -
TheHacker        6.3.1.0.101        2008.10.04        -
TrendMicro        8.700.0.1004        2008.10.03        -
VBA32        3.12.8.6        2008.10.04        -
ViRobot        2008.10.4.1406        2008.10.04        -
VirusBuster        4.5.11.0        2008.10.04        -
weitere Informationen
File size: 147456 bytes
MD5...: 63e501e99211d0d0b31cadd0ee8a51a0
SHA1..: ddb286bbe043987940178cc3629cce165ee20b3e
SHA256: 6222b93c4269d840434353de84506770fc1a719048e782526eb08b9263e0b425
SHA512: 01d5c1b2ba489e88713c2801fd8503f19786dead7a80b14d41c25ef042175ecc
5215d476b30798a47f4b2e75d2347340d2329e5beb3b802da6fecadcc350ac02
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001b738
timedatestamp.....: 0x48e4f0a1 (Thu Oct 02 16:02:41 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.nlke 0x1000 0x1e18c 0x1f000 6.88 73e83480c27da4700bbf9e613ef53b33
.qjgk 0x20000 0x3f1 0x1000 1.75 ff1756a0919be3fc039e370c6b6204f5
.wrevr 0x21000 0x1f60 0x1000 0.53 1e873d6869e5c5aa8bedd2a71d502ef5
.reloc 0x23000 0x196c 0x2000 5.97 4522b0768223a9941c9df49fab9b6cc2

( 1 imports )
> KERNEL32.dll: GetModuleFileNameW, MulDiv, GlobalLock, DeleteFileW, GlobalFree, GetPrivateProfileStringW, MultiByteToWideChar, FindResourceW, FreeLibrary, GetDriveTypeW, GetProcAddress, LoadResource, FindFirstChangeNotificationW, GlobalDeleteAtom, TerminateThread, CancelWaitableTimer, FindResourceExW, WriteFile, GetFileSize, VirtualAlloc, LoadLibraryA, ResetEvent, FindFirstFileW, GlobalAlloc, CreateEventW, LockResource, VirtualFree, ReadFile, WaitForMultipleObjects, SetWaitableTimer, ResumeThread

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer


Combofix log :

Code:

ComboFix 08-10-04.07 - xxxxxxx 2008-10-05 15:55:53.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1648 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
.

(((((((((((((((((((((((  Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 15:46 . 2008-10-05 15:46        <DIR>        d--------        C:\Programme\CCleaner
2008-10-05 12:22 . 2008-10-05 12:22        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-05 12:21 . 2008-10-05 12:22        <DIR>        d--------        C:\Programme\SUPERAntiSpyware
2008-10-05 12:21 . 2008-10-05 12:21        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-03 13:49 . 2008-10-03 13:49        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxx\ntsvcfg
2008-10-02 23:20 . 2008-10-03 01:12        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxx\.housecall6.6
2008-10-02 22:20 . 2008-10-02 22:20        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2008-10-02 22:20 . 2008-04-14 04:22        153,600        --a------        C:\WINDOWS\R.COM
2008-10-02 22:20 . 2008-04-14 04:23        140,800        --a------        C:\WINDOWS\system32\T.COM
2008-10-02 20:40 . 2008-10-02 20:40        <DIR>        d--------        C:\Programme\jgrfqbg
2008-10-02 20:40 . 2008-10-02 20:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nuforwpq
2008-10-02 20:40 . 2008-10-02 20:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hopgrqna
2008-10-02 20:40 . 2008-10-02 20:40        114,688        ---------        C:\WINDOWS\system32\netkbkfo.exe
2008-09-29 19:10 . 2008-09-29 19:10        <DIR>        d--------        C:\Programme\Curse
2008-09-27 21:16 . 2008-09-27 21:16        <DIR>        d--------        C:\WINDOWS\system32\AGEIA
2008-09-27 21:16 . 2008-09-27 21:18        <DIR>        d--------        C:\WINDOWS\NV16481768.TMP
2008-09-27 21:16 . 2008-09-27 21:16        <DIR>        d--------        C:\Programme\AGEIA Technologies
2008-09-27 21:10 . 2008-07-12 08:18        3,851,784        --a------        C:\WINDOWS\system32\D3DX9_39.dll
2008-09-27 21:10 . 2008-07-12 08:18        1,493,528        --a------        C:\WINDOWS\system32\D3DCompiler_39.dll
2008-09-27 21:10 . 2008-07-31 10:40        509,448        --a------        C:\WINDOWS\system32\XAudio2_2.dll
2008-09-27 21:10 . 2008-07-12 08:18        467,984        --a------        C:\WINDOWS\system32\d3dx10_39.dll
2008-09-27 21:10 . 2008-07-31 10:41        238,088        --a------        C:\WINDOWS\system32\xactengine3_2.dll
2008-09-27 21:10 . 2008-07-31 10:41        68,616        --a------        C:\WINDOWS\system32\XAPOFX1_1.dll
2008-09-19 22:21 . 2008-09-19 22:21        <DIR>        d--------        C:\WINDOWS\Logs
2008-09-10 09:12 . 2008-09-10 09:12        <DIR>        d--------        C:\WINDOWS\Sun
2008-09-10 09:12 . 2008-09-10 09:12        <DIR>        d--------        C:\Programme\Sun
2008-09-10 09:11 . 2008-09-10 09:11        <DIR>        d--------        C:\Programme\Java
2008-09-10 09:11 . 2008-09-10 09:11        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Java
2008-09-10 09:11 . 2008-06-10 02:32        73,728        --a------        C:\WINDOWS\system32\javacpl.cpl
2008-09-08 19:05 . 2008-09-08 19:05        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Apple Computer
2008-09-08 19:04 . 2008-09-08 19:05        <DIR>        d--------        C:\Programme\QuickTime
2008-09-08 19:04 . 2008-09-08 19:04        <DIR>        d--------        C:\Programme\iTunes
2008-09-08 19:03 . 2008-09-08 19:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-09-08 19:02 . 2008-09-08 19:02        <DIR>        d--------        C:\Programme\iPod
2008-09-08 19:02 . 2004-12-18 20:32        38,229        ---------        C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-09-08 18:59 . 2008-09-08 19:02        <DIR>        d--------        C:\WINDOWS\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 10:21        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 21:38        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\teamspeak2
2008-09-16 19:27        453,152        ----a-w        C:\WINDOWS\system32\nvuninst.exe
2008-09-06 18:21        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-09-04 07:31        288,024        ----a-w        C:\WINDOWS\system32\PhysXCplUI.exe
2008-08-29 06:57        70,936        ----a-w        C:\WINDOWS\system32\PhysXLoader.dll
2008-08-16 18:49        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\CyberLink
2008-08-16 18:49        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink
2008-08-16 18:48        ---------        d-----w        C:\Programme\Gemeinsame Dateien\CyberLink
2008-08-16 18:47        505,128        ----a-w        C:\WINDOWS\system32\msvcp71.dll
2008-08-16 18:47        29,480        ----a-w        C:\WINDOWS\system32\msxml3a.dll
2008-08-16 18:47        ---------        d-----w        C:\Programme\CyberLink
2008-08-16 18:29        ---------        d-----w        C:\Programme\DivX
2008-08-12 19:53        ---------        d-----w        C:\Programme\World of Warcraft
2008-08-10 16:11        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-07-25 08:36        524,288        ----a-w        C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50        3,596,288        ----a-w        C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48        200,704        ----a-w        C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48        1,044,480        ----a-w        C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46        12,288        ----a-w        C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26        253,952        ----a-w        C:\WINDOWS\system32\es.dll
.

(((((((((((((((((((((((((((((  snapshot@2008-10-05_12.01.04.67  )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-05 10:22:05        34,304        ----a-r        C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe
- 2008-10-05 09:25:06        72,490        ----a-w        C:\WINDOWS\system32\perfc007.dat
+ 2008-10-05 10:16:34        72,490        ----a-w        C:\WINDOWS\system32\perfc007.dat
- 2008-10-05 09:25:06        59,780        ----a-w        C:\WINDOWS\system32\perfc009.dat
+ 2008-10-05 10:16:34        59,780        ----a-w        C:\WINDOWS\system32\perfc009.dat
- 2008-10-05 09:25:06        411,266        ----a-w        C:\WINDOWS\system32\perfh007.dat
+ 2008-10-05 10:16:34        411,266        ----a-w        C:\WINDOWS\system32\perfh007.dat
- 2008-10-05 09:25:06        397,560        ----a-w        C:\WINDOWS\system32\perfh009.dat
+ 2008-10-05 10:16:34        397,560        ----a-w        C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"genenset"="C:\WINDOWS\system32\netkbkfo.exe" [2008-10-02 114688]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSys2"="C:\WINDOWS\System32\winsys2.exe" [2007-10-30 208896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-09-17 13574144]
"RemoteControl8"="C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="C:\Programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-12-20 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-08 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-09-17 86016]
"nwiz"="nwiz.exe" [2008-09-17 C:\WINDOWS\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ActSys"= {5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll [2008-10-02 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-16 23:41 1271032 C:\Programme\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxe\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxxxx\\counter-strike\\hl.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxx\\Eigene Dateien\\WAR Europe Downloader.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Curse\\CurseClient.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 41792]

*Newly Created Service* - SASDIFSV
*Newly Created Service* - SASENUM
*Newly Created Service* - SASKUTIL
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, xxxxxx://www.gmer.net
Rootkit scan 2008-10-05 15:57:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 15:59:21
ComboFix-quarantined-files.txt  2008-10-05 13:59:05

Vor Suchlauf: 9.312.657.408 Bytes frei
Nach Suchlauf: 9,301,712,896 Bytes frei

154        --- E O F ---        2008-09-10 07:10:10


Esca 05.10.2008 17:31

Sehe grade das in der ersten HJT Log die Datei vorhanden ist Adobe.. .
Da ich sie so wie ich glaube gelöscht habe.
Habe nochmal HJL laufen lassen und die Datei halt nicht mehr gefunden.

Schicke nochmal eine aktuelle Log nach :

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:31, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
d:\Warhammer Online - Age of Reckoning\WAR.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxxx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxxxx://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxxxxx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxxx://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [genenset] C:\WINDOWS\system32\netkbkfo.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxxxxxx://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208289888609
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - xxxxxx://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: ActSys - {5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4942 bytes


Sunny 05.10.2008 17:45

Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"genenset"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSys2"=-

FILE::
C:\WINDOWS\system32\netkbkfo.exe
C:\WINDOWS\System32\winsys2.exe
C:\Programme\jgrfqbg\ActSys.dll

DIRLOOK::
C:\WINDOWS\NV16481768.TMP

FOLDER::
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nuforwpq
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hopgrqna
C:\Programme\jgrfqbg

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann





Kaspersky - Onlinescanner


Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Esca 05.10.2008 22:13

Hier ist die neue Combofix Log:

Code:

ComboFix 08-10-04.07 - xxxxx 2008-10-05 19:20:30.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1654 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxxxxxx\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\Programme\jgrfqbg\ActSys.dll
C:\WINDOWS\system32\netkbkfo.exe
C:\WINDOWS\System32\WinSys2.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hopgrqna
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nuforwpq
C:\Programme\jgrfqbg
C:\Programme\jgrfqbg\ActSys.dll
C:\WINDOWS\system32\netkbkfo.exe
C:\WINDOWS\System32\WinSys2.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 15:46 . 2008-10-05 15:46        <DIR>        d--------        C:\Programme\CCleaner
2008-10-05 12:22 . 2008-10-05 12:22        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-05 12:21 . 2008-10-05 12:22        <DIR>        d--------        C:\Programme\SUPERAntiSpyware
2008-10-05 12:21 . 2008-10-05 12:21        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-03 13:49 . 2008-10-03 13:49        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxxx\ntsvcfg
2008-10-02 23:20 . 2008-10-03 01:12        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxxx\.housecall6.6
2008-10-02 22:20 . 2008-10-02 22:20        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2008-10-02 22:20 . 2008-04-14 04:22        153,600        --a------        C:\WINDOWS\R.COM
2008-10-02 22:20 . 2008-04-14 04:23        140,800        --a------        C:\WINDOWS\system32\T.COM
2008-09-29 19:10 . 2008-09-29 19:10        <DIR>        d--------        C:\Programme\Curse
2008-09-27 21:16 . 2008-09-27 21:16        <DIR>        d--------        C:\WINDOWS\system32\AGEIA
2008-09-27 21:16 . 2008-09-27 21:18        <DIR>        d--------        C:\WINDOWS\NV16481768.TMP
2008-09-27 21:16 . 2008-09-27 21:16        <DIR>        d--------        C:\Programme\AGEIA Technologies
2008-09-27 21:10 . 2008-07-12 08:18        3,851,784        --a------        C:\WINDOWS\system32\D3DX9_39.dll
2008-09-27 21:10 . 2008-07-12 08:18        1,493,528        --a------        C:\WINDOWS\system32\D3DCompiler_39.dll
2008-09-27 21:10 . 2008-07-31 10:40        509,448        --a------        C:\WINDOWS\system32\XAudio2_2.dll
2008-09-27 21:10 . 2008-07-12 08:18        467,984        --a------        C:\WINDOWS\system32\d3dx10_39.dll
2008-09-27 21:10 . 2008-07-31 10:41        238,088        --a------        C:\WINDOWS\system32\xactengine3_2.dll
2008-09-27 21:10 . 2008-07-31 10:41        68,616        --a------        C:\WINDOWS\system32\XAPOFX1_1.dll
2008-09-19 22:21 . 2008-09-19 22:21        <DIR>        d--------        C:\WINDOWS\Logs
2008-09-10 09:12 . 2008-09-10 09:12        <DIR>        d--------        C:\WINDOWS\Sun
2008-09-10 09:12 . 2008-09-10 09:12        <DIR>        d--------        C:\Programme\Sun
2008-09-10 09:11 . 2008-09-10 09:11        <DIR>        d--------        C:\Programme\Java
2008-09-10 09:11 . 2008-09-10 09:11        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Java
2008-09-10 09:11 . 2008-06-10 02:32        73,728        --a------        C:\WINDOWS\system32\javacpl.cpl
2008-09-08 19:05 . 2008-09-08 19:05        <DIR>        d--------        C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Apple Computer
2008-09-08 19:04 . 2008-09-08 19:05        <DIR>        d--------        C:\Programme\QuickTime
2008-09-08 19:04 . 2008-09-08 19:04        <DIR>        d--------        C:\Programme\iTunes
2008-09-08 19:03 . 2008-09-08 19:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-09-08 19:02 . 2008-09-08 19:02        <DIR>        d--------        C:\Programme\iPod
2008-09-08 19:02 . 2004-12-18 20:32        38,229        ---------        C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-09-08 18:59 . 2008-09-08 19:02        <DIR>        d--------        C:\WINDOWS\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 10:21        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 21:38        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\teamspeak2
2008-09-16 19:27        453,152        ----a-w        C:\WINDOWS\system32\nvuninst.exe
2008-09-06 18:21        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-09-04 07:31        288,024        ----a-w        C:\WINDOWS\system32\PhysXCplUI.exe
2008-08-29 06:57        70,936        ----a-w        C:\WINDOWS\system32\PhysXLoader.dll
2008-08-16 18:49        ---------        d-----w        C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\CyberLink
2008-08-16 18:49        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink
2008-08-16 18:48        ---------        d-----w        C:\Programme\Gemeinsame Dateien\CyberLink
2008-08-16 18:47        505,128        ----a-w        C:\WINDOWS\system32\msvcp71.dll
2008-08-16 18:47        29,480        ----a-w        C:\WINDOWS\system32\msxml3a.dll
2008-08-16 18:47        ---------        d-----w        C:\Programme\CyberLink
2008-08-16 18:29        ---------        d-----w        C:\Programme\DivX
2008-08-12 19:53        ---------        d-----w        C:\Programme\World of Warcraft
2008-08-10 16:11        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-07-25 08:36        524,288        ----a-w        C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50        3,596,288        ----a-w        C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48        200,704        ----a-w        C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48        1,044,480        ----a-w        C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46        12,288        ----a-w        C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26        253,952        ----a-w        C:\WINDOWS\system32\es.dll
.

((((((((((((((((((((((((((((((((((((((((((((  Look  )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\WINDOWS\NV16481768.TMP ----

2008-09-17 09:55        60357        --a------        C:\WINDOWS\NV16481768.TMP\nvmobjpn.chm
2008-09-17 09:55        59261        --a------        C:\WINDOWS\NV16481768.TMP\nvmobcht.chm
2008-09-17 09:55        59225        --a------        C:\WINDOWS\NV16481768.TMP\nvmobtha.chm
2008-09-17 09:55        59100        --a------        C:\WINDOWS\NV16481768.TMP\nvmobell.chm
2008-09-17 09:55        59061        --a------        C:\WINDOWS\NV16481768.TMP\nvmobkor.chm
2008-09-17 09:55        58607        --a------        C:\WINDOWS\NV16481768.TMP\nvmobchs.chm
2008-09-17 09:55        58340        --a------        C:\WINDOWS\NV16481768.TMP\nvmobheb.chm
2008-09-17 09:55        57545        --a------        C:\WINDOWS\NV16481768.TMP\nvmobsky.chm
2008-09-17 09:55        57512        --a------        C:\WINDOWS\NV16481768.TMP\nvmobhun.chm
2008-09-17 09:55        57450        --a------        C:\WINDOWS\NV16481768.TMP\nvmobtrk.chm
2008-09-17 09:55        57387        --a------        C:\WINDOWS\NV16481768.TMP\nvmobcsy.chm
2008-09-17 09:55        57380        --a------        C:\WINDOWS\NV16481768.TMP\nvmobslv.chm
2008-09-17 09:55        57376        --a------        C:\WINDOWS\NV16481768.TMP\nvmobplk.chm
2008-09-17 09:55        57339        --a------        C:\WINDOWS\NV16481768.TMP\nvmobrus.chm
2008-09-17 09:55        57328        --a------        C:\WINDOWS\NV16481768.TMP\nvmobara.chm
2008-09-17 09:55        56934        --a------        C:\WINDOWS\NV16481768.TMP\nvmobfin.chm
2008-09-17 09:55        56175        --a------        C:\WINDOWS\NV16481768.TMP\nvmobita.chm
2008-09-17 09:55        56087        --a------        C:\WINDOWS\NV16481768.TMP\nvmobfra.chm
2008-09-17 09:55        56087        --a------        C:\WINDOWS\NV16481768.TMP\nvmobdeu.chm
2008-09-17 09:55        55992        --a------        C:\WINDOWS\NV16481768.TMP\nvmobesm.chm
2008-09-17 09:55        55946        --a------        C:\WINDOWS\NV16481768.TMP\nvmobptb.chm
2008-09-17 09:55        55845        --a------        C:\WINDOWS\NV16481768.TMP\nvmobptg.chm
2008-09-17 09:55        55693        --a------        C:\WINDOWS\NV16481768.TMP\nvmobsve.chm
2008-09-17 09:55        55669        --a------        C:\WINDOWS\NV16481768.TMP\nvmobesn.chm
2008-09-17 09:55        55622        --a------        C:\WINDOWS\NV16481768.TMP\nvmobdan.chm
2008-09-17 09:55        55525        --a------        C:\WINDOWS\NV16481768.TMP\nvmobnor.chm
2008-09-17 09:55        55475        --a------        C:\WINDOWS\NV16481768.TMP\nvmobnld.chm
2008-09-17 09:55        55103        --a------        C:\WINDOWS\NV16481768.TMP\nvmobeng.chm
2008-09-17 09:55        54988        --a------        C:\WINDOWS\NV16481768.TMP\nvmob.chm
2008-09-17 09:55        249639        --a------        C:\WINDOWS\NV16481768.TMP\nvdspjpn.chm
2008-09-17 09:55        230922        --a------        C:\WINDOWS\NV16481768.TMP\nvdspcht.chm
2008-09-17 09:55        225743        --a------        C:\WINDOWS\NV16481768.TMP\nvdspkor.chm
2008-09-17 09:55        223246        --a------        C:\WINDOWS\NV16481768.TMP\nvdspsky.chm
2008-09-17 09:55        222783        --a------        C:\WINDOWS\NV16481768.TMP\nvdspchs.chm
2008-09-17 09:55        221912        --a------        C:\WINDOWS\NV16481768.TMP\nvdsptha.chm
2008-09-17 09:55        219118        --a------        C:\WINDOWS\NV16481768.TMP\nvdspell.chm
2008-09-17 09:55        215972        --a------        C:\WINDOWS\NV16481768.TMP\nvdsprus.chm
2008-09-17 09:55        213058        --a------        C:\WINDOWS\NV16481768.TMP\nvdspplk.chm
2008-09-17 09:55        212300        --a------        C:\WINDOWS\NV16481768.TMP\nvdsptrk.chm
2008-09-17 09:55        211948        --a------        C:\WINDOWS\NV16481768.TMP\nvdspheb.chm
2008-09-17 09:55        210653        --a------        C:\WINDOWS\NV16481768.TMP\nvdspslv.chm
2008-09-17 09:55        208678        --a------        C:\WINDOWS\NV16481768.TMP\nvdsphun.chm
2008-09-17 09:55        206378        --a------        C:\WINDOWS\NV16481768.TMP\nvdspcsy.chm
2008-09-17 09:55        205198        --a------        C:\WINDOWS\NV16481768.TMP\nvdspsve.chm
2008-09-17 09:55        203473        --a------        C:\WINDOWS\NV16481768.TMP\nvdspara.chm
2008-09-17 09:55        201421        --a------        C:\WINDOWS\NV16481768.TMP\nvdspfin.chm
2008-09-17 09:55        199168        --a------        C:\WINDOWS\NV16481768.TMP\nvdspdeu.chm
2008-09-17 09:55        198528        --a------        C:\WINDOWS\NV16481768.TMP\nvdspita.chm
2008-09-17 09:55        197650        --a------        C:\WINDOWS\NV16481768.TMP\nvdspnld.chm
2008-09-17 09:55        197530        --a------        C:\WINDOWS\NV16481768.TMP\nvdspptg.chm
2008-09-17 09:55        196621        --a------        C:\WINDOWS\NV16481768.TMP\nvdspesm.chm
2008-09-17 09:55        195174        --a------        C:\WINDOWS\NV16481768.TMP\nvdspptb.chm
2008-09-17 09:55        193149        --a------        C:\WINDOWS\NV16481768.TMP\nvdspesn.chm
2008-09-17 09:55        192535        --a------        C:\WINDOWS\NV16481768.TMP\nvdspnor.chm
2008-09-17 09:55        191154        --a------        C:\WINDOWS\NV16481768.TMP\nvdspfra.chm
2008-09-17 09:55        190931        --a------        C:\WINDOWS\NV16481768.TMP\nvdspdan.chm
2008-09-17 09:55        186185        --a------        C:\WINDOWS\NV16481768.TMP\nvdsp.chm
2008-09-17 09:55        184658        --a------        C:\WINDOWS\NV16481768.TMP\nvdspeng.chm
2008-09-17 09:55        144421        --a------        C:\WINDOWS\NV16481768.TMP\nv3djpn.chm
2008-09-17 09:55        139792        --a------        C:\WINDOWS\NV16481768.TMP\nv3dcht.chm
2008-09-17 09:55        137045        --a------        C:\WINDOWS\NV16481768.TMP\nv3dtha.chm
2008-09-17 09:55        134133        --a------        C:\WINDOWS\NV16481768.TMP\nv3dchs.chm
2008-09-17 09:55        133761        --a------        C:\WINDOWS\NV16481768.TMP\nv3dtrk.chm
2008-09-17 09:55        132251        --a------        C:\WINDOWS\NV16481768.TMP\nv3dkor.chm
2008-09-17 09:55        132088        --a------        C:\WINDOWS\NV16481768.TMP\nv3dheb.chm
2008-09-17 09:55        131422        --a------        C:\WINDOWS\NV16481768.TMP\nv3dell.chm
2008-09-17 09:55        131070        --a------        C:\WINDOWS\NV16481768.TMP\nv3dhun.chm
2008-09-17 09:55        130245        --a------        C:\WINDOWS\NV16481768.TMP\nv3dplk.chm
2008-09-17 09:55        129704        --a------        C:\WINDOWS\NV16481768.TMP\nvcpljpn.chm
2008-09-17 09:55        129550        --a------        C:\WINDOWS\NV16481768.TMP\nv3dptg.chm
2008-09-17 09:55        129499        --a------        C:\WINDOWS\NV16481768.TMP\nv3dsky.chm
2008-09-17 09:55        128958        --a------        C:\WINDOWS\NV16481768.TMP\nv3dcsy.chm
2008-09-17 09:55        128913        --a------        C:\WINDOWS\NV16481768.TMP\nv3dslv.chm
2008-09-17 09:55        128544        --a------        C:\WINDOWS\NV16481768.TMP\nv3dara.chm
2008-09-17 09:55        128148        --a------        C:\WINDOWS\NV16481768.TMP\nvcpltha.chm
2008-09-17 09:55        126976        --a------        C:\WINDOWS\NV16481768.TMP\nv3drus.chm
2008-09-17 09:55        126892        --a------        C:\WINDOWS\NV16481768.TMP\nvcpltrk.chm
2008-09-17 09:55        126670        --a------        C:\WINDOWS\NV16481768.TMP\nvcplell.chm
2008-09-17 09:55        126196        --a------        C:\WINDOWS\NV16481768.TMP\nvcplheb.chm
2008-09-17 09:55        126105        --a------        C:\WINDOWS\NV16481768.TMP\nvcplsky.chm
2008-09-17 09:55        125735        --a------        C:\WINDOWS\NV16481768.TMP\nvcplara.chm
2008-09-17 09:55        125552        --a------        C:\WINDOWS\NV16481768.TMP\nvcplhun.chm
2008-09-17 09:55        125181        --a------        C:\WINDOWS\NV16481768.TMP\nvcplrus.chm
2008-09-17 09:55        124964        --a------        C:\WINDOWS\NV16481768.TMP\nvcplslv.chm
2008-09-17 09:55        124817        --a------        C:\WINDOWS\NV16481768.TMP\nvcplcht.chm
2008-09-17 09:55        124741        --a------        C:\WINDOWS\NV16481768.TMP\nvcplkor.chm
2008-09-17 09:55        124738        --a------        C:\WINDOWS\NV16481768.TMP\nvcplesn.chm
2008-09-17 09:55        124590        --a------        C:\WINDOWS\NV16481768.TMP\nvcpldeu.chm
2008-09-17 09:55        124544        --a------        C:\WINDOWS\NV16481768.TMP\nvcplfin.chm
2008-09-17 09:55        124278        --a------        C:\WINDOWS\NV16481768.TMP\nv3dfin.chm
2008-09-17 09:55        124229        --a------        C:\WINDOWS\NV16481768.TMP\nvcplchs.chm
2008-09-17 09:55        124148        --a------        C:\WINDOWS\NV16481768.TMP\nvcplita.chm
2008-09-17 09:55        124138        --a------        C:\WINDOWS\NV16481768.TMP\nvcplesm.chm
2008-09-17 09:55        124078        --a------        C:\WINDOWS\NV16481768.TMP\nvcplptb.chm
2008-09-17 09:55        124067        --a------        C:\WINDOWS\NV16481768.TMP\nvcplcsy.chm
2008-09-17 09:55        124044        --a------        C:\WINDOWS\NV16481768.TMP\nvcplptg.chm
2008-09-17 09:55        124019        --a------        C:\WINDOWS\NV16481768.TMP\nvcplplk.chm
2008-09-17 09:55        123526        --a------        C:\WINDOWS\NV16481768.TMP\nv3ddeu.chm
2008-09-17 09:55        122675        --a------        C:\WINDOWS\NV16481768.TMP\nvcplsve.chm
2008-09-17 09:55        122227        --a------        C:\WINDOWS\NV16481768.TMP\nvcplfra.chm
2008-09-17 09:55        122193        --a------        C:\WINDOWS\NV16481768.TMP\nvcplnld.chm
2008-09-17 09:55        121758        --a------        C:\WINDOWS\NV16481768.TMP\nvcpleng.chm
2008-09-17 09:55        121529        --a------        C:\WINDOWS\NV16481768.TMP\nvcpl.chm
2008-09-17 09:55        121053        --a------        C:\WINDOWS\NV16481768.TMP\nv3dita.chm
2008-09-17 09:55        120933        --a------        C:\WINDOWS\NV16481768.TMP\nvcpldan.chm
2008-09-17 09:55        120026        --a------        C:\WINDOWS\NV16481768.TMP\nvcplnor.chm
2008-09-17 09:55        119706        --a------        C:\WINDOWS\NV16481768.TMP\nv3dnor.chm
2008-09-17 09:55        119315        --a------        C:\WINDOWS\NV16481768.TMP\nv3dfra.chm
2008-09-17 09:55        118926        --a------        C:\WINDOWS\NV16481768.TMP\nv3ddan.chm
2008-09-17 09:55        118734        --a------        C:\WINDOWS\NV16481768.TMP\nv3dsve.chm
2008-09-17 09:55        118608        --a------        C:\WINDOWS\NV16481768.TMP\nv3desm.chm
2008-09-17 09:55        118410        --a------        C:\WINDOWS\NV16481768.TMP\nv3dptb.chm
2008-09-17 09:55        118401        --a------        C:\WINDOWS\NV16481768.TMP\nv3dnld.chm
2008-09-17 09:55        117909        --a------        C:\WINDOWS\NV16481768.TMP\nv3desn.chm
2008-09-17 09:55        117083        --a------        C:\WINDOWS\NV16481768.TMP\nv3deng.chm
2008-09-17 09:55        116384        --a------        C:\WINDOWS\NV16481768.TMP\nv3d.chm


(((((((((((((((((((((((((((((  snapshot@2008-10-05_12.01.04.67  )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-05 10:22:05        34,304        ----a-r        C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe
- 2008-10-05 09:25:06        72,490        ----a-w        C:\WINDOWS\system32\perfc007.dat
+ 2008-10-05 10:16:34        72,490        ----a-w        C:\WINDOWS\system32\perfc007.dat
- 2008-10-05 09:25:06        59,780        ----a-w        C:\WINDOWS\system32\perfc009.dat
+ 2008-10-05 10:16:34        59,780        ----a-w        C:\WINDOWS\system32\perfc009.dat
- 2008-10-05 09:25:06        411,266        ----a-w        C:\WINDOWS\system32\perfh007.dat
+ 2008-10-05 10:16:34        411,266        ----a-w        C:\WINDOWS\system32\perfh007.dat
- 2008-10-05 09:25:06        397,560        ----a-w        C:\WINDOWS\system32\perfh009.dat
+ 2008-10-05 10:16:34        397,560        ----a-w        C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-09-17 13574144]
"RemoteControl8"="C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="C:\Programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-12-20 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-08 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-09-17 86016]
"nwiz"="nwiz.exe" [2008-09-17 C:\WINDOWS\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-16 23:41 1271032 C:\Programme\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxxxxx\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\xxxxxxxxxxxxxx\\counter-strike\\hl.exe"=
"C:\\Dokumente und Einstellungen\\xxxxxxxx\\Eigene Dateien\\WAR Europe Downloader.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Curse\\CurseClient.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 41792]

*Newly Created Service* - SASDIFSV
*Newly Created Service* - SASENUM
*Newly Created Service* - SASKUTIL
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-ActSys-{5F2CFF5D-40E0-7752-8EC6-00FECFD23B15} - C:\Programme\jgrfqbg\ActSys.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, xxxxxx://www.gmer.net
Rootkit scan 2008-10-05 19:23:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\DOKUME~1\xxxxxxxxxxx\LOKALE~1\Temp\RGI1D.tmp

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 19:25:33
ComboFix-quarantined-files.txt  2008-10-05 17:25:20
ComboFix2.txt  2008-10-05 13:59:22

Vor Suchlauf: 9.277.927.424 Bytes frei
Nach Suchlauf: 9,276,325,888 Bytes frei

279        --- E O F ---        2008-09-10 07:10:10


Esca 05.10.2008 22:15

Und hier die Kaspersky Log :

Code:

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Sonntag, 5. Oktober 2008 22:57:03
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  5/10/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 1155447
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
        A:\
        C:\
        D:\
        E:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 151614
        Viren gefunden: 1
        Infizierte Objekte gefunden: 5
        Verdächtige Objekte gefunden: 0
        Untersuchungszeit: 02:43:14

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\0ff4f92981ba382428cef66ee7439a6e_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3c35c9cfd06e146b2890c64fd6dec9f1_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\49e1772e0458dd2840565b126859c386_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\8272304b848ddde3fe4367233d2dfeb5_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\dcff16beca459ea238b0c8407135663e_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\fb9d9db50117e90ced3a373c0f4a7e2c_a2bc4dd6-518b-4ae1-8c7e-27ad50a7ef7d        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxx\.housecall6.6\Quarantine\netkbkfo.exe.bac_a02924        Infizierte Objekte: Trojan.Win32.Obfuscated.gx        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\cert8.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\formhistory.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\history.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\key3.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\parent.lock        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\search.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\urlclassifier2.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\06igzv2a.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxx\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxxxxxxx\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\QooBox\Quarantine\C\Programme\jgrfqbg\ActSys.dll.vir        Infizierte Objekte: Trojan.Win32.Obfuscated.gx        übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\netkbkfo.exe.vir        Infizierte Objekte: Trojan.Win32.Obfuscated.gx        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\A0030900.dll        Infizierte Objekte: Trojan.Win32.Obfuscated.gx        übersprungen
C:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\A0030901.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gx        übersprungen
C:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp        Das Objekt ist gesperrt        übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
D:\System Volume Information\_restore{56C4295A-0B8F-40D2-96F4-3461B40743B1}\RP121\change.log        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\callcont.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\gdi32.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\h323.tsp        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\h323msp.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\helpctr.exe        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\mf3216.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\msasn1.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\msgina.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\mst120.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\netapi32.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\nmcom.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll        Das Objekt ist gesperrt        übersprungen
D:\WINDOWS\$NtUninstallKB835732$\schannel.dll        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.



Alle Zeitangaben in WEZ +1. Es ist jetzt 06:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27