Trojaner-Board - TDSServ

Hi,

ich hab mir letztens anscheinend das Rootkit TDSServ. Ich hab schon versucht das über Antivir zu löschen aber das Teil ist sofort wieder da. Ich weiß nichtmehr weiter und hab jetzt dieses Forum gefunden. Ihr seid meine letzte hoffnung. Hier mal der HijackThis log:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 15:17:58, on 27.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

D:\programme\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

D:\Programme\Winamp\winampa.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\alg.exe

D:\Programme\Proxifier\Proxifier.exe

C:\Programme\Mozilla Firefox\firefox.exe

D:\Programme\HijackThis\1_99_1.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [] C:\Dokumente und Einstellungen\User\Anwendungsdaten\Adobe\Player.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Alice.lnk = ?

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209823719453

O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6EDE52E1-CB60-4297-9123-49F11A063F52}: NameServer = 213.191.74.11 213.191.92.82

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WBSrv - D:\Programme\Stardock\Object Desktop\WindowBlinds\wbsrv.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\programme\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Ein zusätzliches Problem ist dass bei mir von welchem Virus auch immer viele Websites geblockt werden. Bevorzugt die Seiten von Antivirus Herstellern.

Vielen Dank im Vorraus

Ok Danke! Hier ist schonmal der Combofix Log:

Code:

ComboFix 08-11-27.01 - User 2008-11-27 15:47:05.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1671 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\mops.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\setup.exe

c:\windows\system32\Drivers\TDSSmaxt.sys

c:\windows\system32\TDSSnrsr.dll

c:\windows\system32\TDSSofxh.dll

c:\windows\system32\TDSSosvd.dat

c:\windows\system32\TDSSriqp.dll

c:\windows\system32\TDSStkdv.log

c:\windows\system32\tmp20.tmp
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_ISODRIVE

-------\Legacy_OREANS32

-------\Legacy_TDSSSERV.SYS

-------\Service_ISODrive

-------\Service_oreans32

-------\Service_TDSSserv.sys
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-27 bis 2008-11-27  ))))))))))))))))))))))))))))))

.
 

2008-11-27 15:49 . 2008-11-27 15:49        16,384        --a----t-        c:\temp\Perflib_Perfdata_7fc.dat

2008-11-27 15:40 . 2008-11-27 15:45        <DIR>        d--------        C:\ComboFix

2008-11-27 14:38 . 2008-11-27 15:35        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-11-26 20:45 . 2008-11-27 14:45        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan

2008-11-26 20:32 . 2008-11-26 20:33        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-11-26 19:55 . 2007-09-12 18:29        782,336        -ra------        c:\windows\system32\tmp1F.tmp

2008-11-26 16:05 . 2008-11-26 16:05        410,976        --a------        c:\windows\system32\deploytk.dll

2008-11-23 18:57 . 2008-11-23 18:57        <DIR>        d--------        c:\programme\Microsoft Visual Studio 8

2008-11-23 17:40 . 2006-05-31 08:22        62,232        -r-------        c:\windows\system32\GameuxInstallHelper.dll

2008-11-22 09:50 . 2008-11-27 14:28        2,351        --a------        c:\windows\system32\TDSSfxmp.dll

2008-11-18 20:42 . 2008-11-18 20:42        <DIR>        d--------        c:\dokumente und einstellungen\User\Anwendungsdaten\Leadertech

2008-11-15 22:30 . 2005-01-12 13:01        118,784        --a------        c:\windows\system32\WLANUTL.dll

2008-11-15 22:30 . 2005-01-12 15:47        61,440        --a------        c:\windows\system32\W32N50.dll

2008-11-15 22:30 . 2005-01-12 15:47        16,292        --a------        c:\windows\system32\PCANDIS5.SYS

2008-11-15 16:46 . 2008-11-15 16:46        603,904        --a------        c:\windows\system32\TUProgSt.exe

2008-11-15 16:45 . 2008-11-15 16:45        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

2008-11-14 20:44 . 2008-11-14 20:44        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3

2008-11-06 21:51 . 2008-11-06 21:51        0        --a------        c:\windows\mngui.INI

2008-11-06 18:57 . 2008-11-06 18:57        <DIR>        d--h-c---        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}

2008-11-06 14:17 . 2008-11-06 14:17        1,061,188        --a------        c:\windows\system32\ah.mx1

2008-11-06 14:17 . 2008-11-06 14:17        564,736        --a------        c:\windows\system32\ah.scr

2008-11-06 14:17 . 2008-11-06 14:17        45,056        --a------        c:\windows\system32\sstunst3.exe

2008-11-06 14:17 . 2008-11-06 14:17        20,610        --a------        c:\windows\system32\ah.ibx

2008-11-04 18:49 . 2008-11-04 18:49        <DIR>        d--------        c:\windows\nview

2008-11-04 18:49 . 2008-11-27 15:49        200,819        --a------        c:\windows\system32\nvapps.xml

2008-11-04 18:49 . 2008-10-07 13:33        18,477        --a------        c:\windows\system32\nvdisp.nvu

2008-11-02 10:22 . 2008-11-27 15:49        100,883        --a------        c:\windows\system32\oodbs.lor

2008-11-01 09:39 . 2008-11-01 09:39        <DIR>        d--------        c:\dokumente und einstellungen\User\Desktops2crck

2008-11-01 08:44 . 2008-11-01 08:44        <DIR>        d--------        c:\windows\95FC26FB19FD4A96BBB1B1062E8648F5.TMP

2008-10-28 23:36 . 2008-10-28 23:36        823,296        --a------        c:\windows\system32\divx_xx0c.dll

2008-10-28 23:36 . 2008-10-28 23:36        823,296        --a------        c:\windows\system32\divx_xx07.dll

2008-10-28 23:35 . 2008-10-28 23:35        815,104        --a------        c:\windows\system32\divx_xx0a.dll

2008-10-28 23:35 . 2008-10-28 23:35        802,816        --a------        c:\windows\system32\divx_xx11.dll

2008-10-28 23:35 . 2008-10-28 23:35        729,088        --a------        c:\windows\system32\divxdec.ax

2008-10-28 23:35 . 2008-10-28 23:35        684,032        --a------        c:\windows\system32\DivX.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-26 19:32        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2008-11-26 18:55        413,696        ----a-w        c:\windows\system32\wrap_oal.dll

2008-11-26 18:55        110,592        ----a-w        c:\windows\system32\OpenAL32.dll

2008-11-26 18:30        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-11-26 18:18        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2008-11-26 15:05        ---------        d-----w        c:\programme\Java

2008-11-25 20:09        183,112        ----a-w        c:\windows\system32\PnkBstrB.exe

2008-11-25 20:09        138,184        ----a-w        c:\windows\system32\drivers\PnkBstrK.sys

2008-11-25 18:03        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Winamp

2008-11-23 17:58        ---------        d-----w        c:\programme\Microsoft.NET

2008-11-23 17:58        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-11-20 17:01        682,280        ----a-w        c:\windows\system32\pbsvc.exe

2008-11-20 17:01        22,328        ----a-w        c:\dokumente und einstellungen\User\Anwendungsdaten\PnkBstrK.sys

2008-11-20 16:52        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Skype

2008-11-20 15:52        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\skypePM

2008-11-18 20:06        66,872        ----a-w        c:\windows\system32\PnkBstrA.exe

2008-11-15 15:46        362,240        ----a-w        c:\windows\system32\TuneUpDefragService.exe

2008-11-12 15:44        27,904        ----a-w        c:\windows\system32\uxtuneup.dll

2008-11-06 20:17        ---------        d-----w        c:\programme\SystemRequirementsLab

2008-11-05 16:32        ---------        d-----w        c:\programme\DivX

2008-11-02 17:45        ---------        d-----w        c:\programme\Microsoft Silverlight

2008-10-26 20:23        ---------        d-----w        c:\programme\Gemeinsame Dateien\Apple

2008-10-26 20:23        ---------        d-----w        c:\programme\Apple Software Update

2008-10-26 20:23        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer

2008-10-26 20:23        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple

2008-10-26 20:19        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\River Past G5

2008-10-26 20:18        162,474        ----a-w        c:\windows\MPEG-4 Converter and Booster Pack Uninstaller.exe

2008-10-26 20:18        ---------        d-----w        c:\programme\Gemeinsame Dateien\River Past

2008-10-26 20:18        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\River Past G5

2008-10-26 20:16        163,459        ----a-w        c:\windows\Audio Converter Uninstaller.exe

2008-10-26 18:01        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Teleca

2008-10-25 09:21        ---------        d-----w        c:\programme\Sony Ericsson

2008-10-25 09:21        ---------        d-----w        c:\programme\Gemeinsame Dateien\Teleca Shared

2008-10-25 09:21        ---------        d-----w        c:\programme\Gemeinsame Dateien\Sony Ericsson Shared

2008-10-25 09:21        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Sony Ericsson

2008-10-25 09:21        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Teleca

2008-10-25 09:21        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson

2008-10-24 14:37        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\NewsLeecher

2008-10-21 13:43        ---------        d-----w        c:\programme\Google

2008-10-21 13:43        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

2008-10-21 10:41        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy

2008-10-18 20:44        ---------        d-----w        c:\programme\NVIDIA Corporation

2008-10-17 18:11        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Download Manager

2008-10-17 15:03        107,888        ----a-w        c:\windows\system32\CmdLineExt.dll

2008-10-17 15:03        ---------        d--h--r        c:\dokumente und einstellungen\User\Anwendungsdaten\SecuROM

2008-10-16 12:18        ---------        d-----w        c:\programme\Gemeinsame Dateien\TechSmith Shared

2008-10-14 19:31        ---------        d-----w        c:\programme\AGEIA Technologies

2008-10-13 15:29        105,984        ----a-w        c:\windows\system32\c_dll.dll

2008-10-13 12:36        279,712        ----a-w        c:\windows\system32\drivers\atksgt.sys

2008-10-13 12:36        25,888        ----a-w        c:\windows\system32\drivers\lirsgt.sys

2008-10-13 06:39        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\America's Army Deploy Client

2008-10-08 15:50        ---------        d-----w        c:\programme\Bonjour

2008-10-08 15:35        ---------        d-----w        c:\programme\Gemeinsame Dateien\EZB Systems

2008-10-05 15:59        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Disney Interactive Studios

2008-10-05 10:06        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania

2008-10-04 09:57        24,944        ----a-w        c:\windows\system32\drivers\GVTDrv.sys

2008-10-03 18:28        ---------        d-----w        c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer

2008-10-02 23:46        81,920        ----a-w        c:\windows\system32\frapsvid.dll

2008-10-01 16:06        ---------        d-----w        c:\programme\MSBuild

2008-09-30 16:40        ---------        d-----w        c:\programme\OpenOffice.org 2.4

2008-09-30 13:19        33,952        ----a-w        c:\windows\system32\drivers\oreans32.sys

2008-09-28 16:43        65,536        ----a-w        c:\windows\IFinst27.exe

2008-09-26 11:23        720,896        ----a-w        c:\windows\iun6002.exe

2008-09-26 05:12        730,368        ----a-w        c:\windows\system32\oodsvct.exe

2008-09-26 05:12        1,287,424        ----a-w        c:\windows\system32\oodag.exe

2008-09-26 05:11        2,524,416        ----a-w        c:\windows\system32\oodtray.exe

2008-09-26 05:11        194,816        ----a-w        c:\windows\system32\oodbs.exe

2008-09-26 05:10        902,400        ----a-w        c:\windows\system32\oodtrrs.dll

2008-09-26 05:09        9,984        ----a-w        c:\windows\system32\oodbsrs.dll

2008-09-26 05:09        8,448        ----a-w        c:\windows\system32\oodagrs.dll

2008-09-26 05:09        16,640        ----a-w        c:\windows\system32\oodagmg.dll

2008-09-25 08:03        81,920        ----a-w        c:\windows\system32\dpl100.dll

2008-09-25 08:03        593,920        ----a-w        c:\windows\system32\dpuGUI11.dll

2008-09-25 08:03        57,344        ----a-w        c:\windows\system32\dpv11.dll

2008-09-25 08:03        53,248        ----a-w        c:\windows\system32\dpuGUI10.dll

2008-09-25 08:03        524,288        ----a-w        c:\windows\system32\DivXsm.exe

2008-09-25 08:03        344,064        ----a-w        c:\windows\system32\dpus11.dll

2008-09-25 08:03        294,912        ----a-w        c:\windows\system32\dpu11.dll

2008-09-25 08:03        294,912        ----a-w        c:\windows\system32\dpu10.dll

2008-09-25 08:03        196,608        ----a-w        c:\windows\system32\dtu100.dll

2008-09-25 08:03        161,096        ----a-w        c:\windows\system32\DivXCodecVersionChecker.exe

2008-09-19 21:57        3,596,288        ----a-w        c:\windows\system32\qt-dx331.dll

2008-09-19 21:55        200,704        ----a-w        c:\windows\system32\ssldivx.dll

2008-09-19 21:55        1,044,480        ----a-w        c:\windows\system32\libdivx.dll

2008-09-19 21:54        12,288        ----a-w        c:\windows\system32\DivXWMPExtType.dll

2008-09-18 04:17        15,104        ----a-w        c:\windows\system32\ootmapi.dll

2008-09-17 07:55        453,152        ----a-w        c:\windows\system32\nvudisp.exe

2008-09-16 19:27        453,152        ----a-w        c:\windows\system32\NVUNINST.EXE

2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys

2008-09-04 07:31        288,024        ----a-w        c:\windows\system32\PhysXCplUI.exe

2008-09-03 16:07        24        ----a-w        c:\dokumente und einstellungen\User\jagex_runescape_preferences.dat

2008-08-29 06:57        70,936        ----a-w        c:\windows\system32\PhysXLoader.dll

2008-06-05 13:44        1,890        --sha-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys

2008-06-05 13:40        88        --sh--r        c:\dokumente und einstellungen\All Users\Anwendungsdaten\9A25DD75C7.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-26 136600]

"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"WinampAgent"="d:\programme\Winamp\winampa.exe" [2008-08-04 36352]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="c:\\WINDOWS\\system32\\logonui.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]

2008-09-28 17:39 229376 d:\programme\Stardock\Object Desktop\WindowBlinds\WbSrv.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=wbsys.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSVideo"= CSvidcap.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"MDM"=2 (0x2)

"Bonjour Service"=2 (0x2)

"O&O Defrag"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"ISUSPM"=
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiSpyWareDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Game\\Soldat\\Soldat.exe"=

"d:\\Programme\\ICQ6\\ICQ.exe"=

"d:\\Game\\TmNationsForever\\TmForever.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=

"d:\\Game\\TmNationsForever\\TmForeverLauncher.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=

"d:\\Game\\Prey\\prey.exe"=

"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"d:\\Game\\Metin2\\metin2.bin"=

"d:\\Game\\S.T.A.L.K.E.R. Clear Sky\\bin\\xrEngine.exe"=

"d:\\Game\\S.T.A.L.K.E.R. Clear Sky\\bin\\dedicated\\xrEngine.exe"=

"d:\\Game\\Battlefield 2\\BF2.exe"=

"d:\\Game\\Brothers in Arms - Hell's Highway\\Binaries\\biahh.exe"=

"d:\\Game\\Crysis\\Bin32\\Crysis.exe"=

"d:\\Game\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\Programme\\MAXON\\CINEMA 4D R10\\NET Render Client.exe"=

"d:\\Game\\Far Cry 2\\bin\\FarCry2.exe"=

"d:\\Game\\Far Cry 2\\bin\\FC2Launcher.exe"=

"d:\\Game\\Far Cry 2\\bin\\FC2Editor.exe"=

"d:\\Game\\Far Cry 2\\bin\\FC2ServerLauncher.exe"=

"d:\\Programme\\River Past\\Audio Converter\\AudioConverter.exe"=

"d:\\Programme\\River Past\\MPEG-4 Converter and Booster Pack\\VideoCleaner.exe"=

"d:\\Programme\\River Past\\MPEG-4 Converter and Booster Pack\\AudioConverter.exe"=

"d:\\Game\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"=

"d:\\Game\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"=

"d:\\Programme\\Steam\\steamapps\\common\\left 4 dead demo\\left4dead.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"d:\\Game\\SEGA Rally\\SEGA Rally.exe"=

"d:\\Game\\SEGA Rally\\SEGA Rally_SSE1.exe"=

"d:\\Game\\Call of Duty - World at War\\CoDWaWmp.exe"=

"d:\\Game\\Call of Duty - World at War\\CoDWaW.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"2350:TCP"= 2350:TCP:Trackmania1

"3450:TCP"= 3450:TCP:Trackmania2
 

R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-08-18 145952]

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};\??\c:\programme\CyberLink\PowerDVD\000.fcl [2007-11-02 19:42:32 41456]

R3 NBXG7031;NB 802.11g XG703 SP3 Driver;c:\windows\system32\DRIVERS\WlanUIG.sys [2008-05-04 352224]

S3 cpuz130;cpuz130;\??\c:\dokume~1\User~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys []

S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\DRIVERS\s716bus.sys [2008-10-25 83208]

S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s716mdfl.sys [2008-10-25 15112]

S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s716mdm.sys [2008-10-25 108552]

S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s716mgmt.sys [2008-10-25 100360]

S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\DRIVERS\s716nd5.sys [2008-10-25 23176]

S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s716obex.sys [2008-10-25 98568]

S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\DRIVERS\s716unic.sys [2008-10-25 98952]

S3 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-11-15 603904]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67DF2FC4-C224-0903-022C-821A98C0BEC6}]

c:\windows\system32\svchostreg.exe

.

Inhalt des "geplante Tasks" Ordners
 

2008-11-24 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-SVCHOST - c:\windows\system32\drivers\svchost.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\zr2hoj9h.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

FF -: plugin - c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\npNxGameUS.dll

FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll

FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll

FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.20926.0.dll

FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll

FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin2.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin3.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin4.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin5.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin6.dll

FF -: plugin - d:\programme\QuickTime\Plugins\npqtplugin7.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-27 15:49:34

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]

"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(736)

d:\programme\Stardock\Object Desktop\WindowBlinds\wbsrv.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

d:\programme\Ad-Aware\aawservice.exe

c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\rundll32.exe

c:\programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-27 15:51:46 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-11-27 14:51:44
 

Vor Suchlauf: 20 Verzeichnis(se), 37.009.723.392 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 36,929,576,960 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

329

MAM Log:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1428

Windows 5.1.2600 Service Pack 3
 

27.11.2008 16:25:35

mbam-log-2008-11-27 (16-25-35).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 232089

Laufzeit: 24 minute(s), 51 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\TDSSfxmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSmaxt.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000041.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000038.sys (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000039.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4EFF4FA4-EB5D-4D46-BD49-550B51DC5523}\RP2\A0000040.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

So jetzt bin ich auch mit Prevx durch. Der findet nichts.