Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Umgebung löst sich auf (https://www.trojaner-board.de/70161-umgebung-loest.html)

Kri 19.02.2009 02:38

Umgebung löst sich auf
 
Hallo zusammen,

wiedereinmal habe ich die Seuche.
Wenn ich den PC einschalte ist anfangs alles in Ordnung, nachdem der PC aber länger an ist (24h+) fängt sich an meine Umgebung aufzulösen (Texte und Grafiken verschwinden, Fehlermeldungen erscheinen, immer verschieden)

Hier erstmal die HJT-Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:26:54, on 19.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\rundll32.exe
C:\ProgZ\cFosSpeed\cFosSpeed.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\ProgZ\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\ProgZ\DNsoft.be\DNsoft.be WiFi SiStr\WiFi SiStr.exe
C:\ProgZ\Microsoft Office\Office12\OUTLOOK.EXE
C:\ProgZ\Samurize\Client.exe
C:\ProgZ\SysTool\SysTool.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\ProgZ\cFosSpeed\spd.exe
C:\ProgZ\Borland\InterBase\bin\ibguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\ProgZ\WebDrive\wdService.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\ProgZ\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ProgZ\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\ProgZ\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ProgZ\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll,InitGauge
O4 - HKLM\..\Run: [cFosSpeed] C:\ProgZ\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [AnyDVD] C:\ProgZ\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [WiFiSiStr] C:\ProgZ\DNsoft.be\DNsoft.be WiFi SiStr\WiFi SiStr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office Outlook 2007.lnk = ?
O4 - Startup: Samurize.lnk = C:\ProgZ\Samurize\Client.exe
O4 - Startup: SysTool.lnk = C:\ProgZ\SysTool\SysTool.exe
O8 - Extra context menu item: &NeoTrace It! - C:\ProgZ\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ProgZ\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ProgZ\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ProgZ\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\ProgZ\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ProgZ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ProgZ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\ProgZ\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\ProgZ\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\ProgZ\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ProgZ\MICROS~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\ProgZ\KASPER~1\KASPER~1.0\adialhk.dll,C:\ProgZ\KASPER~1\KASPER~1\mzvkbd.dll,C:\ProgZ\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ProgZ\KASPER~1\KASPER~1\adial hk.dll,C:\ProgZ\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\ProgZ\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\ProgZ\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\ProgZ\cFosSpeed\spd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\ProgZ\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\ProgZ\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\ProgZ\Borland\InterBase\bin\ibserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\ProgZ\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WebDrive Service (WebDriveService) - South River Technologies, LLC - C:\ProgZ\WebDrive\wdService.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

--
End of file - 9079 bytes



Mache grad noch einen Scan mit "MBAM", werde die Log posten sobald ich wieder wach bin.


In diesem Sinne
Gute Nacht
Viele liebe Grüße
Kri

Kri 19.02.2009 07:36

Umgebung löst sich auf
 
Hallo nochmal,

hier noch die Log vom MBAM-Scan:


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1778
Windows 5.1.2600 Service Pack 2

19.02.2009 07:33:48
mbam-log-2009-02-19 (07-33-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 220005
Laufzeit: 1 hour(s), 19 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\boot.ini (Trojan.Agent) -> Quarantined and deleted successfully.



Viele liebe Grüße
Kri

undoreal 19.02.2009 08:40

Guten Morgen Kri.

Fixe mit HJT folgende Einträge:
Zitat:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:

Folders to delete:
C:\Programme\AskBarDis

http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Scanne den Rechner danach noch mit SuperAntiSpyware und poste das log.


Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista

Kri 19.02.2009 12:10

Hallo undoreal,

erstmal Danke für deine Antwort.

Hab jetzt die beiden Scans gemacht, hier die Logs:


ComboFix:

ComboFix 09-02-17.02 - Kri 2009-02-19 9:15:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.3326.2764 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kri\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Kri\Anwendungsdaten\inst.exe
c:\windows\assys.dll
c:\windows\config.ini
c:\windows\ffnsys.dll
c:\windows\gstcore.dll
c:\windows\mfnsys.dll
c:\windows\rsczsys.dll
c:\windows\snsys.dll
c:\windows\uawin.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FCI
-------\Legacy_ICF
-------\Legacy_NPF
-------\Legacy_XPROTECTOR
-------\Service_XPROTECTOR


((((((((((((((((((((((( Dateien erstellt von 2009-01-19 bis 2009-02-19 ))))))))))))))))))))))))))))))
.

2009-02-18 22:42 . 2009-02-18 22:42 461 --a------ c:\windows\system32\%LocalXml%
2009-02-14 18:44 . 2009-02-14 18:44 <DIR> d-------- c:\programme\Common Files
2009-02-14 18:44 . 2009-02-14 18:50 94,208 --a------ c:\windows\ScUnin.exe
2009-02-14 18:44 . 2009-02-14 18:50 30,947 --a------ c:\windows\scunin.dat
2009-02-14 18:44 . 2009-02-14 18:50 967 --a------ c:\windows\ScUnin.pif
2009-02-14 01:03 . 2009-02-14 01:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreshGames
2009-02-14 01:02 . 2009-02-14 01:02 <DIR> d-------- c:\windows\Ranch Rush
2009-02-06 11:50 . 2009-02-06 12:35 32 --a------ c:\windows\0
2009-02-06 11:50 . 2009-02-06 11:50 0 --a------ c:\windows\system32\0
2009-01-30 12:39 . 2009-01-30 12:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-01-30 12:35 . 2002-12-12 22:35 86,016 -ra------ c:\windows\system32\drivers\SCBaud.w9x
2009-01-30 12:35 . 2002-09-18 00:11 77,824 -ra------ c:\windows\system32\drivers\SioUi2k.dll
2009-01-30 12:35 . 2003-08-04 07:05 73,728 -ra------ c:\windows\system32\drivers\SCBaud.cpl
2009-01-30 12:35 . 2003-07-03 19:58 63,488 -ra------ c:\windows\system32\drivers\wssbtr1f.sys
2009-01-30 12:35 . 2003-04-28 18:31 51,169 -ra------ c:\windows\system32\drivers\OXSER.SYS
2009-01-30 12:35 . 2004-03-23 03:26 48,556 -ra------ c:\windows\system32\drivers\SktBt2k.sys
2009-01-30 12:35 . 2004-02-11 06:29 48,076 -ra------ c:\windows\system32\drivers\Sio9502k.sys
2009-01-30 12:35 . 2002-09-23 00:30 40,960 -ra------ c:\windows\system32\drivers\SCTray.exe
2009-01-30 12:35 . 2004-03-03 05:04 16,486 -ra------ c:\windows\system32\drivers\sktsio9x.vxd
2009-01-30 12:35 . 2000-11-19 16:56 14,380 -ra------ c:\windows\system32\drivers\OXSER.VXD
2009-01-30 12:35 . 2001-07-12 07:19 5,787 -ra------ c:\windows\system32\drivers\SCTB.VXD
2009-01-30 12:34 . 2005-04-30 14:50 28,271 --a------ c:\windows\system32\drivers\BTHidMgr.sys
2009-01-30 12:34 . 2005-04-30 14:50 11,860 --a------ c:\windows\system32\drivers\vbtenum.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-19 08:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-19 08:18 561,956 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-02-19 08:18 41,099,552 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-19 08:18 231,980 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-02-19 08:18 2,418,464 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-02-18 20:27 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\Azureus
2009-02-15 19:59 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-02-14 14:09 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\FileZilla
2009-02-14 11:52 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-04 14:00 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-02-03 17:27 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-03 17:27 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2009-01-23 20:29 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\ICQ
2009-01-12 20:21 --------- d-----w c:\programme\Gemeinsame Dateien\Mediafour
2009-01-12 20:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mediafour
2009-01-08 15:20 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WebDrive
2009-01-08 15:18 3,362,816 ----a-w c:\windows\system32\wdHelper.dll
2009-01-05 01:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apowersoft
2009-01-01 23:04 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\Kana Solution
2008-12-30 19:44 720,896 ----a-w c:\windows\iun6002.exe
2008-12-25 13:12 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\Xbins
2008-12-23 18:45 --------- d-----w c:\dokumente und einstellungen\Kri\Anwendungsdaten\XBList
2008-12-19 01:29 41,888 ----a-w c:\windows\system32\drivers\Oreans.sys
2008-12-15 03:18 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-14 07:41 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-13 11:46 94,208 ----a-w c:\windows\DUMP6726.tmp
2008-12-13 11:39 94,208 ----a-w c:\windows\DUMP69a6.tmp
2008-12-12 03:04 135 ----a-w C:\TestICQ2.bin
2008-12-06 18:49 604 ---ha-w c:\programme\STLL Notifier
2008-12-05 16:03 972,040 ----a-w c:\dokumente und einstellungen\Kri\KAVremover9.exe
2008-11-29 12:07 47,360 ----a-w c:\dokumente und einstellungen\Kri\Anwendungsdaten\pcouffin.sys
2008-11-20 14:55 413,696 ----a-w c:\windows\system32\wrap_oal.dll
2008-11-20 14:55 110,592 ----a-w c:\windows\system32\OpenAL32.dll
2008-04-29 13:49 22,328 ----a-w c:\dokumente und einstellungen\Kri\Anwendungsdaten\PnkBstrK.sys
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

2008-08-16 16:31 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\ctfmon.exe
2008-08-16 16:31 24064 c3a2915c71ae6f225eb906c25ccd29b5 c:\windows\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\progz\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-03-21 1739712]
"WiFiSiStr"="c:\progz\DNsoft.be\DNsoft.be WiFi SiStr\WiFi SiStr.exe" [2007-05-02 921600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"cFosSpeed"="c:\progz\cFosSpeed\cFosSpeed.exe" [2007-08-10 846800]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 761947]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"AVP"="c:\progz\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-04 206088]
"BIH"="bih.dll" [2008-05-01 c:\windows\system32\bih.dll]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-08-16 24064]

c:\dokumente und einstellungen\Kri\Startmen\Programme\Autostart\
Microsoft Office Outlook 2007.lnk - c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe [2008-04-29 845584]
Samurize.lnk - c:\progz\Samurize\Client.exe [2007-04-07 2010624]
SysTool.lnk - c:\progz\SysTool\SysTool.exe [2007-05-29 1265664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VistaAccess.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VistaAccess.lnk
backup=c:\windows\pss\VistaAccess.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kri^Startmenü^Programme^Autostart^HotSpot Manager.lnk]
path=c:\dokumente und einstellungen\Kri\Startmenü\Programme\Autostart\HotSpot Manager.lnk
backup=c:\windows\pss\HotSpot Manager.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kri^Startmenü^Programme^Autostart^Microsoft Office Outlook 2007.lnk]
path=c:\dokumente und einstellungen\Kri\Startmenü\Programme\Autostart\Microsoft Office Outlook 2007.lnk
backup=c:\windows\pss\Microsoft Office Outlook 2007.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\progz\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 20:21 57344 c:\progz\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-08-16 16:31 24064 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DynDNS Updater]
--a------ 2006-09-17 10:32 1352704 c:\progz\DynDNS Updater\DynDNS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EDS]
--a------ 2007-01-11 09:08 634880 c:\programme\Samsung\Samsung EDS\EDSAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Getting started with MacDrive]
--a------ 2007-06-13 13:23 139264 c:\programme\Mediafour\MacDrive 7\MDGetStarted.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\progz\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDDHealth]
--a------ 2008-04-12 18:48 1687552 c:\progz\HDD Health\hddhealth.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\progz\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MacDrive application]
--a------ 2007-07-12 10:57 179288 c:\programme\Mediafour\MacDrive 7\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDGetStarted.exe]
--a------ 2007-06-13 13:23 139264 c:\programme\Mediafour\MacDrive 7\MDGetStarted.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]
--a------ 2008-03-19 22:39 37144 c:\progz\Mindjet\MindManager 7\MmReminderService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 11:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 19:31 1372160 c:\programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 14:21 94208 c:\progz\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 19:49 36352 c:\progz\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{B179023B-6238-4499-8F26-CD73E9D90E0A}]
--a------ 2007-07-12 10:57 179288 c:\programme\Mediafour\MacDrive 7\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2006-08-30 15:40 89542 c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
--a------ 2006-05-04 15:26 2808832 c:\windows\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MacroKeyManager]
--a------ 2007-01-26 09:14 1925120 c:\windows\system32\WTMKM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-07-05 15:08 16380416 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-06-15 15:45 1826816 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2006-07-21 15:14 86016 c:\windows\SoundMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MacDriveService"=2 (0x2)
"AVP"=2 (0x2)
"XAMPP"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\ProgZ\\Miranda IM\\miranda32.exe"=
"c:\\ProgZ\\Azureus\\Azureus.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\ProgZ\\BearShare\\BearShare.exe"=
"c:\\ProgZ\\xchat\\xchat.exe"=
"c:\\ProgZ\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\ProgZ\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\ProgZ\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\ProgZ\\CSpace\\CSpace.exe"=
"c:\\ProgZ\\KGB\\Mpk.exe"=
"c:\\ProgZ\\KGB\\MpkView.exe"=
"c:\\GameZ\\Soldat\\Soldat.exe"=
"c:\\ProgZ\\ICQ6\\ICQ.exe"=
"c:\\ProgZ\\FileZilla FTP Client\\filezilla.exe"=
"c:\\ProgZ\\WebDrive\\webdrive.exe"=
"c:\\ProgZ\\WebDrive\\wdService.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2009-01-12 38448]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R0 MDFSYSNT;MacDrive file system driver;c:\windows\system32\drivers\MDFSYSNT.SYS [2007-09-05 277888]
R0 MDPMGRNT;MDPMGRNT;c:\windows\system32\drivers\MDPMGRNT.sys [2007-02-28 19072]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [2009-01-16 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [2009-01-16 51072]
R1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [2006-11-10 24064]
R2 WTService;WTService;c:\windows\system32\ATWTUSB.EXE [2008-06-04 315392]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [2006-10-12 28160]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
S1 666a17bb;666a17bb;c:\windows\system32\drivers\666a17bb.sys [2008-12-14 0]
S2 RPCHE;Remote Procedure Call (RPCE);c:\programme\Common Files\Microsoft Shared\Speech\csvd.exe [2009-02-14 17238528]
S2 WebDriveFSD;WebDrive Filesystem Driver;\??\c:\progz\WebDrive\wdfsd.sys --> c:\progz\WebDrive\wdfsd.sys [?]
S3 ADDMEM;ADDMEM;\??\c:\dokume~1\Kri\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS --> c:\dokume~1\Kri\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS [?]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 CV2K1;CommView Network Monitor;c:\windows\system32\DRIVERS\cv2k1.sys --> c:\windows\system32\DRIVERS\cv2k1.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\progz\MAGIX\Common\Database\bin\fbserver.exe [2008-07-25 1527900]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 TSCOMM;CommStudio Virtual Adapter by TamoSoft;c:\windows\system32\drivers\tscomm.sys [2008-04-26 40232]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2008-07-25 544768]
S3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-04-10 57344]
S4 MacDriveService;MacDriveService;c:\programme\Mediafour\MacDrive 7\MacDriveService.exe [2007-05-01 143360]
S4 XAMPP;XAMPP Service;d:\xampp\service.exe --> d:\xampp\service.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c406c3ae-e0dc-11dd-85e6-0011675ac317}]
\Shell\Auto\command - G:\lbzvuoluz.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL lbzvuoluz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff7d030c-9451-11dd-ae85-0011675ac317}]
\Shell\Auto\command - hniqepahd.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL hniqepahd.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-13 c:\windows\Tasks\1-Click Maintenance.job
- c:\progz\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:51]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-MacDrive Volume Icons - (no file)
MSConfigStartUp-ACU - c:\programme\Atheros WLAN Client\ACU.exe
MSConfigStartUp-BtTray - c:\progz\IVT Corporation\BlueSoleil\BtTray.exe
MSConfigStartUp-DSS - c:\windows\TCPIPSysWiz.exe
MSConfigStartUp-manager - c:\windows\System32\drivers\setup\manager.exe
MSConfigStartUp-rs32net - c:\windows\System32\rs32net.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.6.0_06\bin\jusched.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progz\NEOTRA~1\NTXcontext.htm
IE: Hinzufügen zu Anti-Banner - c:\progz\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Kri\Anwendungsdaten\Mozilla\Firefox\Profiles\nt52kias.default\
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/
FF - plugin: c:\progz\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: c:\windows\system32\C2MP\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 09:20:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-343818398-1606980848-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:79,6f,89,d8,c7,5a,d7,35,f0,6f,a7,ce,54,22,a0,5f,c7,3b,3c,f6,3c,ed,ae,
9b,97,e0,60,7b,71,34,31,e0,7d,55,78,8f,32,a0,35,03,84,08,6b,63,a8,b6,96,b1,\
"??"=hex:c7,85,6c,82,4e,76,47,27,f9,de,0d,1b,92,f5,6a,65

[HKEY_USERS\S-1-5-21-343818398-1606980848-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:15,57,e6,e2,ab,b6,1b,bb,0d,4e,d3,13,dd,58,b3,01,5d,16,bc,7f,6d,
1b,82,97,df,18,86,85,95,1c,eb,30,89,87,2f,fb,d2,12,9b,c7,7a,02,f4,c3,40,14,\
"rkeysecu"=hex:d7,1d,5c,5c,55,e9,63,49,c9,1e,53,0c,0a,06,df,da
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1800)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\wdnp32.dll
c:\windows\system32\wdHelper.dll
c:\windows\system32\wdUIResDll.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\TGTSoft\StyleXP\StyleXPService.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
c:\progz\Microsoft Office\Office12\OUTLOOK.EXE
c:\programme\Bonjour\mDNSResponder.exe
c:\progz\cFosSpeed\spd.exe
c:\progz\Borland\InterBase\bin\ibguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\PnkBstrA.exe
c:\progz\WebDrive\wdService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progz\Borland\InterBase\bin\ibserver.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-19 9:25:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-19 08:25:25

Vor Suchlauf: 24 Verzeichnis(se), 40.620.539.904 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 40,515,903,488 Bytes frei

337

Kri 19.02.2009 12:11

SUPERAntiSpyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/19/2009 at 11:23 AM

Application Version : 4.25.1012

Core Rules Database Version : 3766
Trace Rules Database Version: 1726

Scan type : Complete Scan
Total Scan Time : 01:50:29

Memory items scanned : 510
Memory threats detected : 0
Registry items scanned : 7211
Registry threats detected : 0
File items scanned : 153639
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adbrite[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@doubleclick[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@virus-webscanner[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@www.safewebnavigate2008[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@tacoda[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@atwola[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@fastclick[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@virus9-webscanner[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ads.widgetbucks[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@www.etracker[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@advertising[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ad3.clickhype[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@at.atwola[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adtech[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@stats.paypal[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@scan.wspscanner[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@ads.heias[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@apmebf[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@zedo[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@xiti[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@atdmt[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@flixbanner.bearshare[2].txt
C:\Dokumente und Einstellungen\Kri\Cookies\kri@adserver.easyad[1].txt

BearShare File Sharing Client
C:\PROGZ\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\KRI\DESKTOP\PROGZ\BEARSHARE.LNK
C:\windows\Prefetch\BEARSHARE.EXE-1C09E6AC.pf

Desktop Hijacker.AboutYourPrivacy
C:\WINDOWS\PRIVACY_DANGER(2)(2)\IMAGES(2)\CAPT.GIF
C:\WINDOWS\PRIVACY_DANGER(2)(2)\IMAGES(2)\DOWN.GIF



Viele liebe Grüße
Kri

undoreal 19.02.2009 13:14

Deinstalliere Bearshare.
Deinstalliere Azureus.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:

Folders to delete:
C:\ProgZ\BEARSHARE
C:\ProgZ\Azureus

http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Kri 19.02.2009 13:33

Hallo,

mach ich gleich, aber mir sind gerade noch ein paar Prozesse in der msconfig aufgefallen:

http://img27.imageshack.us/img27/1299/78528940ka1.jpg

http://img4.imageshack.us/img4/733/46573102hp6.jpg

Sind die okay?

Reiche die Log gleich nach.


Viele liebe Grüße
Kri

undoreal 19.02.2009 17:44

Die Autostarts sind O.k.

Kri 06.08.2009 07:50

Hallo zusammen,

hab ganz vergessen hier zu posten. Das Problem ist immer noch da, jetzt hab ich allerdings bemerkt, dass mir Kaspersky kurz vor dem Absturz eine Warnung zu einem Keylogger gibt (/DRIVER/SYNTP), welche ja für das Touchpad zuständig ist. Kurz nachdem die "Keylogger-Warnung" kommt, fängt sich an die Umgebung aufzulösen.


Viele liebe Grüße
Kri

undoreal 06.08.2009 10:11

Poste bitte den Kaspersky Bericht.

Kri 06.08.2009 12:07

Hier die Log der Programmkontrolle von heute morgen bis zum Herrunterfahren des Rechners:
Code:

06.08.2009 08:12:43        Tastaturspionage        \DRIVER\SYNTP        Gefunden: Keylogger       
06.08.2009 08:16:04                Firewall        Aufgabe wurde gestartet       
06.08.2009 08:16:04                Aktivitätsfilterung        Aufgabe wurde gestartet       
06.08.2009 08:16:04                Proaktiver Schutz        Aufgabe wurde gestartet       
06.08.2009 08:17:37        Zugeordnet zu Gruppe        Vertrauenswürdig/ADOBE SYSTEMS               
06.08.2009 08:17:45        Zugeordnet zu Gruppe        Vertrauenswürdig               
06.08.2009 08:18:05        Löschen        C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll        Erlaubt: KLSystemData/KLSystemFiles/SystemDll       
06.08.2009 08:18:05        Löschen        C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe        Erlaubt: KLSystemData/KLSystemFiles/SystemExe       
06.08.2009 08:18:06        Löschen        C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe        Erlaubt: KLSystemData/KLProtected applications/       
06.08.2009 08:18:06        Löschen        C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe        Erlaubt: KLSystemData/KLSystemFiles/SystemExe       
06.08.2009 08:53:43        Zugeordnet zu Gruppe        Vertrauenswürdig/ADOBE SYSTEMS               
06.08.2009 08:57:23        Zugeordnet zu Gruppe        Vertrauenswürdig/MALWAREBYTES               
06.08.2009 08:57:24        Zugeordnet zu Gruppe        Schwache Beschränkungen               
06.08.2009 08:57:31        Erstellen        C:\WINDOWS\system32\drivers\mbam.sys        Erlaubt: KLSystemData/KLSystemFiles/Drivers       
06.08.2009 08:57:32                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Suspicious driver installation       
06.08.2009 08:57:36                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Suspicious driver installation       
06.08.2009 08:57:36                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Nicht beendet: Suspicious driver installation       
06.08.2009 08:57:38        Zuweisen von Debugger-Rechten                Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege       
06.08.2009 08:57:39        Herunterfahren des Systems                Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown       
06.08.2009 08:57:42        Löschen        C:\ProgZ\Malwarebytes' Anti-Malware\mbam.exe        Erlaubt: KLSystemData/KLProtected applications/       
06.08.2009 08:57:42        Erstellen        C:\ProgZ\Malwarebytes' Anti-Malware\mbam.exe        Erlaubt: KLSystemData/KLProtected applications/       
06.08.2009 08:57:43        Löschen        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run       
06.08.2009 08:57:44        Löschen        C:\ProgZ\Malwarebytes' Anti-Malware\mbamgui.exe        Erlaubt: KLSystemData/KLProtected applications/       
06.08.2009 08:57:44        Erstellen        C:\ProgZ\Malwarebytes' Anti-Malware\mbamgui.exe        Erlaubt: KLSystemData/KLProtected applications/       
06.08.2009 08:57:45        Löschen        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run       
06.08.2009 08:57:48        Ändern        hkey_users\S-1-5-21-343818398-1606980848-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        Erlaubt: KLSystemData/KLStartupRegKeys/Common Startup       
06.08.2009 08:57:48        Ändern        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        Erlaubt: KLSystemData/KLStartupRegKeys/Common Startup       
06.08.2009 08:57:54        Ändern        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce        Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run       
06.08.2009 08:57:54        Ändern        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce        Erlaubt: KLSystemData/KLStartupRegKeys/Main_Run       
06.08.2009 08:57:56                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:04                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:04                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Nicht beendet: Trojan.generic       
06.08.2009 08:58:04                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:05                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:05                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Nicht beendet: Trojan.generic       
06.08.2009 08:58:05                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:06                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:06                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Nicht beendet: Trojan.generic       
06.08.2009 08:58:06                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:06                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:06                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Nicht beendet: Trojan.generic       
06.08.2009 08:58:06                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:07                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:07                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Nicht beendet: Trojan.generic       
06.08.2009 08:58:07                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:08                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:08                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Nicht beendet: Trojan.generic       
06.08.2009 08:58:08                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:09                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:09                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Nicht beendet: Trojan.generic       
06.08.2009 08:58:09                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:09                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:09                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Nicht beendet: Trojan.generic       
06.08.2009 08:58:09                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:22                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Gefunden: Trojan.generic       
06.08.2009 08:58:22                C:\DOKUMENTE UND EINSTELLUNGEN\KRI\LOKALE EINSTELLUNGEN\TEMP\IS-VLS1M.TMP\MBAM-SETUP.TMP        Nicht beendet: Trojan.generic       
06.08.2009 08:58:22                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:22                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Gefunden: Trojan.generic       
06.08.2009 08:58:22                C:\PROGZ\MALWAREBYTES' ANTI-MALWARE\MBAM.EXE        Nicht beendet: Trojan.generic       
06.08.2009 08:58:30        Zuweisen von Debugger-Rechten                Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege       
06.08.2009 08:58:34        Herunterfahren des Systems                Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown       
06.08.2009 08:58:38        Zuweisen von Debugger-Rechten                Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege       
06.08.2009 08:58:40        Herunterfahren des Systems                Erlaubt: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown


undoreal 06.08.2009 12:25

Ein Keylogger ist das imho nicht.

Erkläre bitte nocheinmal ganz genau was die Probleme sind die dein Rechner zeigt.

Kri 06.08.2009 12:40

Meine ganze GUI fängt sich an aufzulösen, Leisten verschwinden, Buttons verschwinden, vorhin hat noch angefangen wie wild mein Browser auf und ab zu scrollen, und letztendlich lässt sich der Rechner noch noch durch drükken des Power-Buttons herunterfahren.
Nach dem Neustart ist dann wieder alles in Ordnung.

Das Problem tritt erst mindestens 24 Stunden Laufzeit ein.

Screenshot kann ich ja leider nicht machen.

EDIT: Manchmal kommen auch Fehlermeldungen ohne Text hinzu.

undoreal 06.08.2009 14:28

Hm, hast du mal die CPU Temperatur beobachtet? Evtl. steigt die zu stark an.

Kri 06.08.2009 14:49

Ich hab endlich nach ewig langer Suche den Fehler gefunden, das Problem kam mit einem Update von Kaspersky selbst: http://forum.kaspersky.com/index.php?showtopic=66570

Ganz toll, wie die einen im Dunkeln tappen lassen, hätten ja wenigstens einen Hinweis bringen können, dass es zu derartigen Problemen kommen kann.

Ich danke dir trotzdem vielmals für deine Zeit und deine Geduld!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131