Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   AntiMalware kan nicht geöffnet werden, System stürzt ab und nfach geöffnet (https://www.trojaner-board.de/68100-antimalware-kan-geoeffnet-system-stuerzt-ab-nfach-geoeffnet.html)

Bernerspasti 06.01.2009 13:36
AntiMalware kan nicht geöffnet werden, System stürzt ab und nfach geöffnet
 
AntiMalware kan nicht geöffnet werden, System stürzt ab und Website werden einfach geöffnet

Moin Trojaner-board user :D

Ich habe seit Tagen mit diversen Viren zu kämpfen und nachdem ich mit Ad-Adware und Avira keinen Erfolg hatte, hab ich mich aufgrund meiner guten Erfahrungen mit diesem Board entschlossen hier zu posten.
Manche Seiten sind mit meinem PC unerreichbar ebenso diese Seite.
Mit jedem anderen PC hingegen schon. Aber der Virus kam immer wieder.
Es öffnet sich immer Browserfenster ohne Inhalt, aber mit dem Namen "sagispul" (o.ä.) oder irgendwelchen ip's.
Und Updates konnte ich immer noch nicht downloaden (hab die Browser- und Programmeinstellungen überprüft. Daran liegt es nicht). AntiMalware wird geblockt, ich kann dieses Programm nicht ausführen.
Schein in letzter Zeit kein unbekanntes Problem zu sein.

Immer wenn ich meinen Rechner starten will ist der bei der Passworteingabe bzw nach Laden des Desktops immer wieder abgestürzt ohne Fehlermeldung.

HiJack-This konnte ich auf der offizielen Seite nicht herunterladen, musste auf Chip gehen.

HiJack-This Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:18, on 05.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [449b448e] rundll32.exe "C:\WINDOWS\system32\qrttriop.dll",b
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217700909015
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: aqzknx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9091 bytes
Ich bedanke mich euch shcon im Voraus, weil ich jetzt in die Schule muss.

Lg

Bernerspasti 07.01.2009 12:37
Brauche wirklich Hilfe, über Mittag startet der Computer ohne Probleme, aber Abends, da geht's nicht mehr

undoreal 07.01.2009 13:59
Halli hallo.

Du saugst illegal aus dem Netz. Solche Dateien sind fast immer mit Viren verseucht vor denen dich kein AV-Prog schützen kann.

Du solltest den Rechner neuaufsetzen und dich danach vorsichtiger im www bewegen...

Bernerspasti 07.01.2009 14:34
Danke, gibt es aber noch eine andere Möglichkeit als den Computer neu aufzusetzen?

undoreal 07.01.2009 14:42
Gibt es. Ist aber nicht sonderlich empfehlenswert.. ;)

Fixe mit HJT folgende Einträge:
Zitat:
C:\Programme\DNA\btdna.exe
C:\Programme\LimeWire\LimeWire.exe
O4 - HKLM\..\Run: [449b448e] rundll32.exe "C:\WINDOWS\system32\qrttriop.dll",b
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O20 - AppInit_DLLs: aqzknx.dll


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
C:\WINDOWS\system32\qrttriop.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\qrttriop.dll
C:\WINDOWS\system32\aqzknx.dll
C:\Programme\DNA\btdna.exe
C:\Programme\LimeWire\LimeWire.exe

Folders to delete:
C:\Programme\DNA
C:\Programme\LimeWire
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Scanne den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.

Bernerspasti 07.01.2009 14:51
Da gibt es schon ein Problem, ich kann auf die Virustotal Seite nicht zugreifen!

undoreal 07.01.2009 14:54
Dann überspringe den Punkt einfach und mache weiter mit Avenger und Combofix.

Bernerspasti 07.01.2009 15:02
Kann auch nicht Avenger downloaden, weil ich auch nicht auf diese Seite zugreifen kann, sowie ComboFix.

undoreal 07.01.2009 15:18
Versuche CF von hier zu laden und poste das log:

http://www.forospyware.com/sUBs/ComboFix.exe

Bernerspasti 07.01.2009 16:17
Na endlich! ComboFix wurde ausgeführt, yeah *freu*.

ComboFix Logfile

Code:
ComboFix 08-12-28.03 -*** 2009-01-06 15:57:07.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.959.763 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix\CF123456.com

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\28463
c:\windows\system32\28463\VUYC.009.tmp
c:\windows\system32\crypts.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-12-06 bis 2009-01-06  ))))))))))))))))))))))))))))))
.

2009-01-05 19:10 . 2009-01-05 19:10        1,327,221        ---hs----        c:\windows\system32\aysurtte.ini
2009-01-05 19:10 . 2009-01-05 19:10        68,608        --a------        c:\windows\system32\ettrusya.dll
2009-01-05 19:09 . 2009-01-05 19:09        103,424        --a------        c:\windows\system32\wowpum.dll
2009-01-05 19:09 . 2009-01-05 19:09        103,424        --a------        c:\windows\system32\mjvfxixv.dll
2009-01-05 13:19 . 2009-01-05 13:19        <DIR>        d--------        c:\programme\Trend Micro
2009-01-04 18:10 . 2009-01-05 19:08        1,327,221        ---hs----        c:\windows\system32\poirttrq.ini
2009-01-04 18:07 . 2009-01-04 18:07        103,424        --a------        c:\windows\system32\mcclaxbf.dll
2009-01-04 18:07 . 2009-01-04 18:07        103,424        --a------        c:\windows\system32\aqzknx.dll
2009-01-03 18:06 . 2009-01-04 18:07        1,311,646        ---hs----        c:\windows\system32\rglcagjd.ini
2009-01-03 18:05 . 2009-01-03 18:05        103,936        --a------        c:\windows\system32\pytywnvs.dll
2009-01-03 18:05 . 2009-01-03 18:05        103,936        --a------        c:\windows\system32\frcqsw.dll
2009-01-03 18:03 . 2009-01-03 18:03        235,520        --a------        c:\windows\system32\hgGxVPFx.dll
2009-01-03 18:03 . 2009-01-06 16:14        195,222        --ahs----        c:\windows\system32\xFPVxGgh.ini
2009-01-03 18:03 . 2009-01-06 16:12        195,064        --ahs----        c:\windows\system32\xFPVxGgh.ini2
2009-01-03 17:58 . 2009-01-03 20:35        0        --a------        c:\windows\system32\drivers\396540b3.sys
2009-01-02 01:03 . 2009-01-03 18:07        2        --a------        C:\1151026209
2009-01-02 00:23 . 2009-01-02 00:26        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\NSeries
2009-01-02 00:23 . 2008-04-14 00:15        26,112        --a------        c:\windows\system32\drivers\usbser.sys
2009-01-02 00:23 . 2008-04-14 00:15        26,112        --a--c---        c:\windows\system32\dllcache\usbser.sys
2009-01-02 00:23 . 2009-01-02 00:23        0        --ah-----        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-01-02 00:23 . 2009-01-02 00:23        0        --ah-----        c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-01-02 00:22 . 2008-03-21 13:57        14,640        ---------        c:\windows\system32\spmsgXP_2k3.dll
2009-01-02 00:20 . 2008-09-15 07:29        1,112,288        --a------        c:\windows\system32\wdfcoinstaller01007.dll
2009-01-02 00:20 . 2008-09-15 07:56        659,968        --a------        c:\windows\system32\nmwcdcocls.dll
2009-01-02 00:20 . 2008-09-15 07:56        22,016        --a------        c:\windows\system32\drivers\ccdcmbo.sys
2009-01-02 00:20 . 2008-09-15 07:56        17,664        --a------        c:\windows\system32\drivers\ccdcmb.sys
2009-01-02 00:20 . 2008-09-15 07:56        8,064        --a------        c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-01-02 00:20 . 2008-09-15 07:56        8,064        --a------        c:\windows\system32\drivers\usbser_lowerflt.sys
2009-01-02 00:19 . 2009-01-02 00:19        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Nokia
2009-01-02 00:17 . 2009-01-02 00:17        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-02 00:06 . 2009-01-02 00:06        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2009-01-02 00:04 . 2009-01-02 00:07        <DIR>        d--------        c:\dokumente und einstellungen\Phong Le\Anwendungsdaten\Nokia
2009-01-02 00:04 . 2009-01-02 00:05        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-01-02 00:03 . 2009-01-02 00:03        <DIR>        d--------        c:\programme\Gemeinsame Dateien\PCSuite
2009-01-02 00:02 . 2009-01-02 00:02        <DIR>        d--------        c:\programme\PC Connectivity Solution
2009-01-02 00:02 . 2009-01-02 00:20        <DIR>        d--------        c:\programme\Nokia
2009-01-02 00:02 . 2009-01-02 00:02        <DIR>        d--------        c:\programme\DIFX
2009-01-02 00:02 . 2009-01-02 00:26        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\PC Suite
2009-01-02 00:02 . 2008-09-15 07:56        91,136        --a------        c:\windows\system32\nmwcdcls.dll
2008-12-30 02:19 . 2008-12-30 02:19        <DIR>        d--------        c:\programme\Defraggler
2008-12-28 19:48 . 2008-12-30 16:30        <DIR>        d--------        c:\windows\PaltalkScene
2008-12-28 19:48 . 2009-01-01 13:32        <DIR>        d--------        c:\programme\Paltalk Messenger
2008-12-28 19:48 . 2009-01-01 13:32        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Paltalk
2008-12-22 21:33 . 2008-12-24 14:05        <DIR>        d--------        c:\programme\Netlog Uploader
2008-12-13 12:18 . 2008-12-13 12:18        <DIR>        d--------        C:\Games
2008-12-06 10:01 . 2008-12-06 10:16        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Blizzard Entertainment

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 15:13        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-01-06 13:39        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\BitTorrent
2009-01-06 13:27        ---------        d-----w        c:\programme\Mozilla Thunderbird
2009-01-06 12:35        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-01-05 11:51        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\LimeWire
2008-12-30 19:03        ---------        d-----w        c:\programme\WarRock
2008-12-30 01:19        ---------        d-----w        c:\programme\CCleaner
2008-12-28 20:54        31        ----a-w        c:\dokumente und einstellungen\***\jagex_runescape_preferences.dat
2008-12-24 15:46        105,984        ----a-w        c:\windows\system32\c_dll.dll
2008-12-12 21:59        ---------        d-----w        c:\programme\Electronic Arts
2008-12-12 21:54        2,090        ----a-w        c:\windows\system32\ealregsnapshot1.reg
2008-12-12 18:04        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-12-12 11:38        ---------        d-----w        c:\programme\Java
2008-12-02 13:10        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-12-02 13:01        107,888        ----a-w        c:\windows\system32\CmdLineExt.dll
2008-12-02 12:52        22,328        ----a-w        c:\windows\system32\drivers\PnkBstrK.sys
2008-12-02 12:52        22,328        ----a-w        c:\dokumente und einstellungen\Phong Le\Anwendungsdaten\PnkBstrK.sys
2008-12-02 12:52        107,832        ----a-w        c:\windows\system32\PnkBstrB.exe
2008-12-02 12:51        2,250,024        ----a-w        c:\windows\system32\pbsvc.exe
2008-12-01 19:04        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-11-23 18:48        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\InstallShield
2008-11-22 07:42        ---------        d-----w        c:\programme\Skype
2008-11-22 07:42        ---------        d-----w        c:\programme\Gemeinsame Dateien\Skype
2008-11-22 07:42        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-19 18:11        ---------        d-----w        c:\programme\Windows Live
2008-11-19 18:05        ---------        d-----w        c:\programme\Messenger Plus! Live
2008-11-19 12:15        ---------        d-----w        c:\programme\Microsoft
2008-11-19 12:12        ---------        d-----w        c:\programme\Gemeinsame Dateien\Windows Live
2008-11-10 04:43        410,984        ----a-w        c:\windows\system32\deploytk.dll
2008-10-23 12:36        286,720        ----a-w        c:\windows\system32\gdi32.dll
2008-10-16 20:04        826,368        ----a-w        c:\windows\system32\wininet.dll
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 13:09        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\wups.dll
2008-10-16 13:06        268,648        ----a-w        c:\windows\system32\mucltui.dll
2008-10-16 13:06        208,744        ----a-w        c:\windows\system32\muweb.dll
2008-10-12 17:08        2,560        ----a-w        c:\windows\_MSRSTRT.EXE
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{348190D8-F3ED-485E-8204-A7A7A5341AC6}]
2009-01-03 18:03 235520        --a------        c:\windows\system32\hgGxVPFx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b29e3255-e072-4dd8-8224-1c8aa961675e}]
2009-01-05 19:09 103424        --a------        c:\windows\system32\wowpum.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\programme\Logitech\Video\ManifestEngine.exe" [2005-01-18 196608]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-11 39408]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2008-12-01 5724184]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-18 21633320]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2005-01-18 458752]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-09 185896]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NSLauncher"="c:\programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-09-07 3100672]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 c:\windows\RTHDCPL.exe]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages        REG_MULTI_SZ          msv1_0 c:\windows\system32\hgGxVPFx

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3325:UDP"= 3325:UDP:Windows Media Format SDK (firefox.exe)
"3324:UDP"= 3324:UDP:Windows Media Format SDK (firefox.exe)
"3350:UDP"= 3350:UDP:Windows Media Format SDK (firefox.exe)

S1 396540b3;396540b3;c:\windows\system32\drivers\396540b3.sys [2009-01-03 0]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-10-01 33752]
.
Inhalt des "geplante Tasks" Ordners

2009-01-06 c:\windows\Tasks\gndbgeij.job
- c:\windows\system32\rundll32.exe [2008-04-14 06:53]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-ddcCtrol - ddcCtrol.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\Phong Le\Anwendungsdaten\Mozilla\Firefox\Profiles\o2ekoav0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - 20min.ch
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10591&gct=&gc=1&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 16:14:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSrfdc.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(688)
c:\windows\system32\hgGxVPFx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\WgaTray.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-06 16:15:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-06 15:15:23

Vor Suchlauf: 15 Verzeichnis(se), 19'711'569'920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 19,700,682,752 Bytes frei

230        --- E O F ---        2008-12-18 12:30:39
Avenger Logfile

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath:  \systemroot\system32\drivers\TDSSrfdc.sys
Start Type:  1 (System)

Rootkit scan completed.


Error:  file "C:\WINDOWS\system32\qrttriop.dll" not found!
Deletion of file "C:\WINDOWS\system32\qrttriop.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\aqzknx.dll" not found!
Deletion of file "C:\WINDOWS\system32\aqzknx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\Programme\DNA\btdna.exe"
Deletion of file "C:\Programme\DNA\btdna.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\Programme\LimeWire\LimeWire.exe"
Deletion of file "C:\Programme\LimeWire\LimeWire.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  folder "C:\Programme\DNA" not found!
Deletion of folder "C:\Programme\DNA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\LimeWire" not found!
Deletion of folder "C:\Programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Nun sieht so mein Logfile aus. Bitte um Überprüfung, ob alles jetzt OK ist.

HiJack-This Logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10:44, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217700909015
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7258 bytes
Was soll ich als nächstes tun?

Auf mein AntiMalware kann ich immer noch nicht zugreifen.

undoreal 07.01.2009 18:04
Setze bitte beim Avenger den Haken "Automatically disable any Rootkit found" und führe folgendes Skript aus:

Zitat:
Files to delete:
C:\WINDOWS\system32\qrttriop.dll
C:\WINDOWS\system32\aqzknx.dll
C:\Programme\DNA\btdna.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\system32\drivers\TDSSrfdc.sys


Folders to delete:
C:\Programme\DNA
C:\Programme\LimeWire


Panda AntiRootkit

  • Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
  • Starte die PAVARK.exe durch einen Doppelklick.
  • Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
  • Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
  • Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
    Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
  • Bereinige die Funde anschließend!



Blacklight


Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.


GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Bernerspasti 07.01.2009 18:50
Dankeee jetzt klappt eigentlich schon fast alles!

Nachdem CF funzt alles :D


Und da Avenger Logfile

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\qrttriop.dll" not found!
Deletion of file "C:\WINDOWS\system32\qrttriop.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\aqzknx.dll" not found!
Deletion of file "C:\WINDOWS\system32\aqzknx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\Programme\DNA\btdna.exe"
Deletion of file "C:\Programme\DNA\btdna.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "C:\Programme\LimeWire\LimeWire.exe"
Deletion of file "C:\Programme\LimeWire\LimeWire.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "C:\WINDOWS\system32\drivers\TDSSrfdc.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\TDSSrfdc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\DNA" not found!
Deletion of folder "C:\Programme\DNA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\LimeWire" not found!
Deletion of folder "C:\Programme\LimeWire" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Jetzt werde ich noch die letzten Schritte die du im letzten Post gepostet hast befolgen!

undoreal 07.01.2009 18:55
Was ist in dem Ordner drinn?
Zitat:
C:\1151026209


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
c:\windows\system32\drivers\396540b3.sys
c:\windows\system32\spmsgXP_2k3.dll
c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
c:\windows\system32\wdfcoinstaller01007.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Bernerspasti 07.01.2009 19:05
Zitat:
Zitat von undoreal (Beitrag 404113)
Was ist in dem Ordner drinn?
LOl habe nachgeschaut, ist eine Textdatei und drin war nur "ok" gestanden XD

undoreal 07.01.2009 19:14
Hm, so lustig finde ich das garnicht.

Lösche den Ordner bitte.

Dann die online Überprüfunge und dann weiter mit SASW und MBA .


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:16 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131