Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   rundlll.exe in C:\Windows\System32\files (https://www.trojaner-board.de/71079-rundlll-exe-c-windows-system32-files.html)

SpecialM 16.03.2009 09:01

rundlll.exe in C:\Windows\System32\files
 
Guten Morgen zusammen,

vor 2-3 Tagen wurde mein Rechner extrem warm.NHC zeigt mir Temperaturen von jenseits 80° an (Notebook) und eine totale Auslastung. Im Taskmanager hatte ich immer eine iexplorer.exe welche sich nicht löschen lassen konnte.

Daraufhin habe ich den Rechner vom Netz getrennt und mit Bitdefener überprüfen lassen.

Der fand im Ornder C:\Windows\System32\files\rundlll.exe einen Backdoor.

Da mir das einfache Löschen nicht sicher genug war,habe ich formatiert,nach 2-3 Stunden gab es plötzlich wieder diese Datei. Hochgeladen und getestet wurde sie als ein Backdoor für Steam-ID's gesehen und als Genpack.backdoor.bifrose.adr....

Daraufhin habe ich nochmals Formatiert, allerdings dann mit einem Low-Level-Format.

Am gestrigen Tage habe ich die Installation von Word etc. vervollständigt und mal zur Abwechslung in den System32 Ordner geschaut. Wieder befand sich dort diese besagte rundlll.exe mit 3 L's,habe sie daraufhin mit TuneUp 2009 geschreddert.

Grade habe ich Bitdefender nochmals durchlaufen lassen, keine Viren gefunden,hier mein Hijackthis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:33:15, on 16.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1005MC.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Miranda\miranda32.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
E:\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4796 bytes


Gruß Martin

Edit:
diese blöde PDFtoolbar habe ich grad runterschmissen, ka wobei die installiert war. Nachdem ich die rundlll.exe gelöscht habe habe ich neugestartet und im System32 ist sie nicht mehr zu finden.

Redwulf 16.03.2009 13:38

Hallo Martin und :hallo:

Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch.

Dein Hijack this Logfile scheint nicht mehr aktuell. Bitte führe die Vorarbeiten nach der Anleitung aus und poste die notwendigen Logs.

SpecialM 16.03.2009 16:03

Hallo :) danke für die Hinweise,dachte eig ich habe alles soweit richtig gemacht :)


also CCleaner habe ich gemacht
1. Mein aktueller HiJackThis Bericht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:02, on 16.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
D:\Miranda\miranda32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
E:\HiJackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 4890 bytes

2. Malware Anti-Malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1854
Windows 5.1.2600 Service Pack 2

16.03.2009 16:01:15
mbam-log-2009-03-16 (16-01-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 90699
Laufzeit: 13 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.

Liste aller installierten Programme:
Adobe Flash Player 10 Plugin
Adobe Reader 7.0.8 - Deutsch
BitDefender Free Edition v10
CCleaner (remove only)
Compatibility Pack für 2007 Office System
DeepBurner v1.9.0.228
DVD-RAM-Treiber
HijackThis 2.0.2
ImgBurn
IZArc 3.81
J2SE Runtime Environment 5.0
KhalSetup
Logitech SetPoint
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.7)
Notebook Hardware Control 2.0 Pre-Release-06 Bugfix
NVIDIA Drivers
PDFCreator
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows XP (KB923789)
Spybot - Search & Destroy
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515/xx12 drivers.
TOSHIBA Hotkey Utility
TOSHIBA Software Modem
TuneUp Utilities 2009
VirtualCloneDrive
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.8a
Winamp
Windows Media Format Runtime
xp-AntiSpy 3.97-2
ZoneAlarm

SpecialM 16.03.2009 17:44

keiner ne Ahnung? habe Malware noch nochmal drüber laufen lassen nachdem ich aufgefordert wurde neu zu starten. im System32 ist weiterhin keine rundlll.exe mehr zu finden, und auch das antimalware Programm findet nichts,ebenso Spybot und Bitdefender

Redwulf 17.03.2009 09:03

Zunächst ist noch einiges in deinem System im Argen. Malware.Trance kann alles bedeuten....vom Trojaner bis zum Wurm.... Auch wenn malwarebytes es augenscheinlich für dich entfernt hat, muss dies nicht bedeuten, dass die Schadware auch tatsächlich beseitigt wurde.
Lösche die Quarantäne von Malwarebytes....

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall wahrscheinlich unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Update dein XP auf SP3. Das ist wichtig!!!Java ist total veraltet und anfällig.
Lade hier die neueste Version herunter. Lösche zuvor in System/Software deine alte Java Version.

Hiernach setzt du nochmals CCleaner ein.

Lade dir nun mbr.exe herunter und lasse dieses Programm laufen. Es überprüft den Masterboot Record deiner Festplatte. Poste das Ergebnis hier:

Hiernach lädst du die Datei thotkey.exe auf deinem Pfad
Code:

C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
zu Virustotal.com hoch und lässt die Datei überprüfen. Auch wenn dort steht, dass diese Datei bereits überprüft wurde. Poste das Ergebnis, vor allem mit den Angaben zu Prüfsummen, Hashes, MD 5 hier.

Danach lädst du dir bitte SuperAntiSpyware runter und lässt es laufen. Poste das Ergebnis bitte hier. ( Code tags nicht vergessen )

Last but not least holst du dir das Programm Gmer. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

Danach sehen wir weiter......

SpecialM 17.03.2009 09:36

Teil 1:

Guten Morgen,

die Schritte habe ich soweit befolgt, SP3 hab ich gestern schon aufgespielt,allerdings kann CCleaner die Datei C:\WINDOWS\Internet Logs\ZALog.txt nicht löschen.


MBR
Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

THotkey.exe
Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.101        2009.03.17        -
AhnLab-V3        5.0.0.2        2009.03.16        -
AntiVir        7.9.0.116        2009.03.17        -
Authentium        5.1.0.4        2009.03.17        -
Avast        4.8.1335.0        2009.03.16        -
AVG        8.0.0.237        2009.03.16        -
BitDefender        7.2        2009.03.17        -
CAT-QuickHeal        10.00        2009.03.17        -
ClamAV        0.94.1        2009.03.17        -
Comodo        1060        2009.03.16        -
DrWeb        4.44.0.09170        2009.03.17        -
eSafe        7.0.17.0        2009.03.15        -
eTrust-Vet        31.6.6388        2009.03.09        -
F-Prot        4.4.4.56        2009.03.16        -
F-Secure        8.0.14470.0        2009.03.17        -
Fortinet        3.117.0.0        2009.03.17        -
GData        19        2009.03.17        -
Ikarus        T3.1.1.45.0        2009.03.17        -
K7AntiVirus        7.10.673        2009.03.16        -
Kaspersky        7.0.0.125        2009.03.17        -
McAfee        5555        2009.03.16        -
McAfee+Artemis        5555        2009.03.16        -
McAfee-GW-Edition        6.7.6        2009.03.17        -
Microsoft        1.4405        2009.03.17        -
NOD32        3941        2009.03.17        -
Norman        6.00.06        2009.03.16        -
nProtect        2009.1.8.0        2009.03.17        -
Panda        10.0.0.10        2009.03.16        -
PCTools        4.4.2.0        2009.03.16        -
Prevx1        V2        2009.03.17        -
Rising        21.21.11.00        2009.03.17        -
Sophos        4.39.0        2009.03.17        -
Sunbelt        3.2.1858.2        2009.03.17        -
Symantec        1.4.4.12        2009.03.17        -
TheHacker        6.3.3.0.283        2009.03.16        -
TrendMicro        8.700.0.1004        2009.03.17        -
VBA32        3.12.10.1        2009.03.16        -
ViRobot        2009.3.17.1651        2009.03.17        -
VirusBuster        4.6.5.0        2009.03.16        -
weitere Informationen
File size: 356352 bytes
MD5...: fcb066dc8607f9713b9060166d6cab3a
SHA1..: 304a2f2ac293b49fd5c9495b145ef6b033ffc5ce
SHA256: 62e73efb86c38d5cb9559ee8c4e37b6da92f6606e92bd49fe9c05eb9c784cb32
SHA512: 39cef0b63636ff0dd4524c746717250f0de0cd1f1b78efca8aa346881de3cba4
427cb3582565012d11e8afdf92a675c5d546dc1c9a099c62055547500c95d274
ssdeep: 3072:eGobPn5rK0vD0lYfNVn9BIs0GXXGiT97QBB+DK1ArNl65kdgboebQV6a5t2
w1/w6:V8nxBL0l8Vn9Gs0cwB+DKal651m
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x47e0
timedatestamp.....: 0x44ee8edf (Fri Aug 25 05:47:11 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x337d4 0x34000 6.00 9fd89b18b15d9f68fe16dcdb523240b7
.data 0x35000 0x26ec 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x38000 0x207b0 0x21000 4.87 1cc525bc84f3b134f84ff56eeaf4186c

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, __vbaVargParmRef, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaVarIdiv, __vbaFreeVarList, _adj_fdiv_m64, __vbaVarIndexStore, __vbaNextEachVar, __vbaFreeObjList, -, __vbaStrErrVarCopy, -, __vbaVarIndexLoadRef, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaCopyBytes, __vbaForEachCollAd, __vbaStrCat, __vbaLsetFixstr, -, __vbaSetSystemError, __vbaRecDestruct, __vbaLenBstrB, __vbaHresultCheckObj, -, _adj_fdiv_m32, __vbaVarTstLe, __vbaAryDestruct, __vbaLateMemSt, -, -, __vbaForEachCollObj, -, -, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaVarIndexLoad, -, -, -, __vbaStrFixstr, -, -, __vbaRefVarAry, __vbaBoolVarNull, _CIsin, -, __vbaErase, -, __vbaNextEachCollObj, __vbaVarZero, __vbaChkstk, EVENT_SINK_AddRef, -, __vbaStrCmp, __vbaVarTstEq, __vbaAryConstruct2, -, DllFunctionCall, __vbaVarLateMemSt, __vbaVarOr, __vbaCastObjVar, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, __vbaLateIdCallLd, __vbaRedim, __vbaUI1ErrVar, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, _CIsqrt, __vbaObjIs, __vbaVarAnd, -, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, -, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, -, -, -, -, __vbaVarCmpLe, __vbaFPException, -, -, __vbaInStrVar, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, __vbaI2Var, -, -, __vbaExitEachVar, _CIlog, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, __vbaLateMemCall, __vbaVarAdd, __vbaAryLock, -, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI4, __vbaVarCopy, -, __vbaLateMemCallLd, -, __vbaRecDestructAnsi, _CIatan, __vbaI2ErrVar, __vbaStrMove, __vbaCastObj, -, __vbaForEachVar, -, _allmul, __vbaLenVarB, -, _CItan, __vbaNextEachCollAd, __vbaUI1Var, __vbaAryUnlock, _CIexp, __vbaFreeObj, __vbaFreeStr, __vbaI4ErrVar

( 0 exports )


Redwulf 17.03.2009 09:48

Lade die datei

C:\WINDOWS\Internet Logs\ZALog.txt

bitte mal zu Virustotal.com hoch und poste dann hier...

SpecialM 17.03.2009 09:53

ZALog.txt

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.101        2009.03.17        -
AhnLab-V3        5.0.0.2        2009.03.16        -
AntiVir        7.9.0.116        2009.03.17        -
Authentium        5.1.0.4        2009.03.17        -
Avast        4.8.1335.0        2009.03.16        -
AVG        8.0.0.237        2009.03.16        -
BitDefender        7.2        2009.03.17        -
CAT-QuickHeal        10.00        2009.03.17        -
ClamAV        0.94.1        2009.03.17        -
Comodo        1060        2009.03.16        -
DrWeb        4.44.0.09170        2009.03.17        -
eSafe        7.0.17.0        2009.03.15        -
eTrust-Vet        31.6.6388        2009.03.09        -
F-Prot        4.4.4.56        2009.03.16        -
F-Secure        8.0.14470.0        2009.03.17        -
Fortinet        3.117.0.0        2009.03.17        -
GData        19        2009.03.17        -
Ikarus        T3.1.1.45.0        2009.03.17        -
K7AntiVirus        7.10.673        2009.03.16        -
Kaspersky        7.0.0.125        2009.03.17        -
McAfee        5555        2009.03.16        -
McAfee+Artemis        5555        2009.03.16        -
McAfee-GW-Edition        6.7.6        2009.03.17        -
Microsoft        1.4405        2009.03.17        -
NOD32        3941        2009.03.17        -
Norman        6.00.06        2009.03.16        -
nProtect        2009.1.8.0        2009.03.17        -
Panda        10.0.0.10        2009.03.16        -
PCTools        4.4.2.0        2009.03.16        -
Prevx1        V2        2009.03.17        -
Rising        21.21.11.00        2009.03.17        -
Sophos        4.39.0        2009.03.17        -
Sunbelt        3.2.1858.2        2009.03.17        -
Symantec        1.4.4.12        2009.03.17        -
TheHacker        6.3.3.0.283        2009.03.16        -
TrendMicro        8.700.0.1004        2009.03.17        -
VBA32        3.12.10.1        2009.03.16        -
ViRobot        2009.3.17.1651        2009.03.17        -
VirusBuster        4.6.5.0        2009.03.16        -
weitere Informationen
File size: 3696 bytes
MD5...: 077576fe04739b71816438ef109cecb7
SHA1..: 1690e108114de4b31a1d92a427495d7b2193f214
SHA256: 32311921f7f0a292680741dbca6facd940e0e501a1ac026733d07928a495a321
SHA512: 12b1f954a051a13f6b965c6a2fa9d5fb3e2b078fed029ce259462c5c7f41f617
10483689b111463a7dc86998820595e37c841ecb68c9afc900c697f479e447e9
ssdeep: 96:XfJI/2DhxFx1PkfOtfbtfcfMiPzVDVCEY9MY9b:BuaxFxQOtbtuMiPzVDVY9M
Y9b
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


SpecialM 17.03.2009 09:58

Superantispyware:
Code:

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 03/17/2009 bei 09:56 AM

Version der Applikation : 4.25.1014

Version der Kern-Datenbank : 3799
Version der Spur-Datenbank : 1754

Scan Art      : kompletter Scann
Totale Scann-Zeit : 00:19:32

Gescannte Speicherelemente  : 515
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4505
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 15152
Erfasste Datei-Elemente  : 0


Redwulf 17.03.2009 10:06

Code:

Last but not least holst du dir das Programm Gmer. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Musst du noch nachholen. ich habe die Befürchtung das irgendwas aktiv ist bei dir und was aus dem Internet nachgeladen wird. Stelle bitte sicher, dass deine Systemwiederherstellung deaktiviert ist. Lösche den Inhalt deines Papierkorbs auch noch vorher.....

Der Fund von Malware.Trance indiziert auf jeden Fall einen Befall, wir müssen nur noch rausfinden was es ist und obs noch da ist....

ZA Log txt ist ein Logfile von Zonealarm, ich persönlich würde Zonealarm nicht nutzen, ich bleibe lieber bei meiner Windows Firewall...

SpecialM 17.03.2009 10:16

gmer bin ich grad dran, dauert schon seit 15 Minuten an. Habe auch alle 3 Partitionen von mir angeklickt, ich frage mich nur woher das gekommen soll. Die Programme die ich installiert habe nach der Formation benutze ich schon min. 2 Jahre,nie ein problem gewesen. Wenn wir jetzt wieder nix finden werde ich wohl nochmals nen Low-Level-Format machen und Windows erneut installieren.

Redwulf 17.03.2009 10:22

Lass uns erst mal einen Blick auf das Gmer Log werfen...
Gute Frage, wie fängt man sich so was ein. Mögliche Quellen sind Peer to Peer Verbindungen bis hin zu Emails die man öffnet. Ich kanns dir nicht sagen. Wird auch nicht möglich sein, dass noch herauszufinden.

Wir sind noch nicht am Ende, lass uns erst mal einen Blick drauf werfen und danach packen wir mal einen Hammer aus .....:)

SpecialM 17.03.2009 10:41

das dauert und dauert :)

Redwulf 17.03.2009 10:43

yup, ich bin hier

SpecialM 17.03.2009 11:02

so,erster Durchlauf war ohne Probleme,dachte natürlich das der das irgendwo zwischenspeichert,pustekuchen,egal nochmal, als Student hat man ja Zeit :)

@RedWulf
sorry wenn ich jetzt was persönliches frage aber bist du Gladbachfan? (Leite ich jetzt aus deinem Wohnort ab), wenn ja willkommen im Club :aplaus:

Redwulf 17.03.2009 11:17

Zitat:

Zitat von SpecialM (Beitrag 421835)
@RedWulf
sorry wenn ich jetzt was persönliches frage aber bist du Gladbachfan? (Leite ich jetzt aus deinem Wohnort ab), wenn ja willkommen im Club :aplaus:

Klaro !! Hab 2 Jungs da spielen ( einer in der C Jugend und den Anderen in der E...:singsing:

SpecialM 17.03.2009 12:15

so,
ich habe ne log gespeichert,aber weiß nicht ob es das richtige ist.Gmer ist jetzt fertig,allerdings kann ich jetzt nichts speichern als log oder kopieren.

Code:

GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-17 11:32:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwConnectPort [0xB7CC0040]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreateFile [0xB7CBC930]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreateKey [0xB7CC7A80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreatePort [0xB7CC0510]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreateProcess [0xB7CC6870]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreateProcessEx [0xB7CC6AA0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreateSection [0xB7CC9FD0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwCreateWaitablePort [0xB7CC0600]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwDeleteFile [0xB7CBCF20]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwDeleteKey [0xB7CC86E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwDeleteValueKey [0xB7CC8440]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwDuplicateObject [0xB7CC6580]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwLoadKey [0xB7CC88B0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwOpenFile [0xB7CBCD70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwOpenProcess [0xB7CC6350]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwOpenThread [0xB7CC6150]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwRenameKey [0xB7CC9250]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwReplaceKey [0xB7CC8CB0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwRequestWaitReplyPort [0xB7CBFC00]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwRestoreKey [0xB7CC9080]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwSecureConnectPort [0xB7CC0220]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwSetInformationFile [0xB7CBD120]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                ZwSetValueKey [0xB7CC8140]
SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xB3534F20]

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!ZwYieldExecution + 133                                                                        804E496D 7 Bytes  [68, CC, B7, A0, 6A, CC, B7]
?              srescan.sys                                                                                                Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\Martin\LOKALE~1\Temp\mbr.sys                                                                  Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                  [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                        [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                      [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                    [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                          [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                        [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                    [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                  [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                        [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                        [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                          [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                          [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                      [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                    [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                          [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                        [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                        [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                        [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                    [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]                                            [B7CD2330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                    [B7CC4CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                  [B7CC4E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                        [B7CC5320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                        [B7CC51C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]                                    [B7CBD5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]                                            [B7CBD770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]                                            [B7CBD2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                                              [B7CBD670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp                                                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                                                vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                          vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)


SpecialM 17.03.2009 12:19

ansonsten habe ich mal Bildschirmfotos gemacht:
http://img23.imageshack.us/img23/3992/30616553.jpg
http://img23.imageshack.us/img23/6904/43883279.jpg

SpecialM 17.03.2009 12:38

so hier noch der aktuelle Malwarebytes Anti-Malware-bericht:
Code:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1857
Windows 5.1.2600 Service Pack 3

17.03.2009 12:37:53
mbam-log-2009-03-17 (12-37-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 101287
Laufzeit: 17 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Redwulf 17.03.2009 12:40

Naja macht nix....soweit wie ich sehen konnte ist ein rootkit nicht vorhanden.
Normalerweise kannst du das Ergebnis im rootkit Reiter mittels copy und Paste in einen texteditor geben und es hochladen. Aber ich denke das wichtigste habe ich gesehen. So, nun noch eins:

COMBOFIX

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

Als nächstes setzen wir ComboFix ein:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

Insbesondere Zonealarm

Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

CCleaner Systembereinigung nochmals laufen lassen

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbreitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

SpecialM 17.03.2009 12:47

Alles klar,werde das heute abend mal machen :) schreibe gleich erstmal Klausur

Redwulf 17.03.2009 13:03

Ich drück die Daumen.......:daumenhoc

SpecialM 17.03.2009 19:19

So wieder da :)

werde mich jetzt vom Netz trennen und Combofix durchlaufen lassen. Poste dann später den Bericht

SpecialM 17.03.2009 19:55

so hier der Bericht combofix:
Code:

ComboFix 09-03-15.01 - Martin 2009-03-17 19:41:56.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2046.1726 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Martin\Desktop\ComboFix.exe
FW: ZoneAlarm Firewall *disabled*
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((  Dateien erstellt von 2009-02-17 bis 2009-03-17  ))))))))))))))))))))))))))))))
.

2009-03-17 19:18 . 2009-03-17 19:18        <DIR>        d--------        c:\windows\LastGood
2009-03-17 10:05 . 2009-03-17 10:20        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\DeepBurner
2009-03-17 09:35 . 2009-03-17 19:17        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-17 09:28 . 2009-03-17 09:28        <DIR>        d--------        c:\programme\Java
2009-03-17 09:28 . 2009-03-17 09:28        410,984        --a------        c:\windows\system32\deploytk.dll
2009-03-17 09:28 . 2009-03-17 09:28        73,728        --a------        c:\windows\system32\javacpl.cpl
2009-03-16 22:13 . 2009-03-16 22:13        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\vlc
2009-03-16 21:34 . 2009-03-16 21:34        <DIR>        d--------        c:\windows\system32\Kaspersky Lab
2009-03-16 21:34 . 2009-03-16 21:34        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-16 20:31 . 2008-10-16 02:00        1,499,136        -----c---        c:\windows\system32\dllcache\shdocvw.dll
2009-03-16 20:31 . 2008-10-16 02:00        671,744        -----c---        c:\windows\system32\dllcache\wininet.dll
2009-03-16 20:31 . 2008-10-16 02:00        620,544        -----c---        c:\windows\system32\dllcache\urlmon.dll
2009-03-16 20:17 . 2008-08-14 14:19        2,191,488        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-16 20:17 . 2008-08-14 14:19        2,147,840        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-16 20:17 . 2008-08-14 14:19        2,068,352        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-16 20:17 . 2008-08-14 14:19        2,026,496        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-16 20:11 . 2008-06-14 18:32        273,024        -----c---        c:\windows\system32\dllcache\bthport.sys
2009-03-16 20:02 . 2008-12-12 18:01        3,088,896        -----c---        c:\windows\system32\dllcache\mshtml.dll
2009-03-16 19:57 . 2008-05-08 15:02        203,136        -----c---        c:\windows\system32\dllcache\rmcast.sys
2009-03-16 19:56 . 2008-10-24 12:21        455,296        -----c---        c:\windows\system32\dllcache\mrxsmb.sys
2009-03-16 19:54 . 2009-03-16 19:54        <DIR>        d--------        c:\programme\Avira GmbH
2009-03-16 18:11 . 2008-12-11 11:57        333,952        -----c---        c:\windows\system32\dllcache\srv.sys
2009-03-16 18:09 . 2008-04-11 20:04        691,712        -----c---        c:\windows\system32\dllcache\inetcomm.dll
2009-03-16 18:07 . 2008-10-15 17:35        337,408        -----c---        c:\windows\system32\dllcache\netapi32.dll
2009-03-16 18:04 . 2008-04-14 07:52        221,184        --a------        c:\windows\system32\wmpns.dll
2009-03-16 17:54 . 2008-04-14 07:52        1,306,624        ---------        c:\windows\system32\msxml6.dll
2009-03-16 17:54 . 2008-04-14 07:52        1,306,624        -----c---        c:\windows\system32\dllcache\msxml6.dll
2009-03-16 17:54 . 2008-04-14 07:27        93,184        ---------        c:\windows\system32\msxml6r.dll
2009-03-16 17:54 . 2008-04-14 07:27        93,184        -----c---        c:\windows\system32\dllcache\msxml6r.dll
2009-03-16 17:50 . 2009-03-16 17:54        <DIR>        d--------        c:\windows\ServicePackFiles
2009-03-16 17:50 . 2008-04-14 07:52        294,912        -----c---        c:\windows\system32\dllcache\dlimport.exe
2009-03-16 17:46 . 2006-12-29 00:31        19,569        --a------        c:\windows\002722_.tmp
2009-03-16 16:44 . 2009-03-17 19:17        <DIR>        d--------        c:\programme\SUPERAntiSpyware
2009-03-16 16:44 . 2009-03-16 16:44        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-16 16:16 . 2009-03-16 16:16        <DIR>        d---s----        c:\dokumente und einstellungen\Martin\UserData
2009-03-16 15:46 . 2009-03-16 15:46        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\Malwarebytes
2009-03-16 15:46 . 2009-03-16 15:46        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-16 11:17 . 2009-03-16 11:17        <DIR>        d----c---        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-03-16 08:41 . 2009-03-17 19:36        81,984        --a------        c:\windows\system32\bdod.bin
2009-03-16 08:39 . 2009-03-16 08:39        <DIR>        d--------        c:\windows\Sun
2009-03-16 08:37 . 2009-03-17 19:40        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Softwin
2009-03-15 20:46 . 2009-03-15 20:46        <DIR>        d--------        c:\programme\MSECache
2009-03-15 20:44 . 2009-03-15 20:45        <DIR>        d--------        c:\programme\PDFCreator
2009-03-15 20:44 . 2004-03-09 00:00        662,288        --a------        c:\windows\system32\MSCOMCT2.OCX
2009-03-15 20:44 . 1998-07-06 17:55        158,208        --a------        c:\windows\system32\MSCMCDE.DLL
2009-03-15 20:44 . 1998-06-24 00:00        137,000        --a------        c:\windows\system32\MSMAPI32.OCX
2009-03-15 20:44 . 1998-07-06 17:56        125,712        --a------        c:\windows\system32\VB6DE.DLL
2009-03-15 20:44 . 2001-10-28 16:42        116,224        --a------        c:\windows\system32\pdfcmnnt.dll
2009-03-15 20:44 . 1998-07-06 17:55        64,512        --a------        c:\windows\system32\MSCC2DE.DLL
2009-03-15 20:44 . 1998-07-06 00:00        23,552        --a------        c:\windows\system32\MSMPIDE.DLL
2009-03-15 20:41 . 2009-03-15 20:41        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\AdobeUM
2009-03-15 20:22 . 2009-03-15 20:22        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\TuneUp Software
2009-03-15 20:22 . 2009-03-15 20:22        603,904        --a------        c:\windows\system32\TUProgSt.exe
2009-03-15 20:22 . 2009-03-15 20:22        360,192        --a------        c:\windows\system32\TuneUpDefragService.exe
2009-03-15 20:22 . 2008-12-11 13:31        27,904        --a------        c:\windows\system32\uxtuneup.dll
2009-03-15 20:21 . 2009-03-15 20:22        <DIR>        d--------        c:\programme\TuneUp Utilities 2009
2009-03-15 20:21 . 2009-03-15 20:21        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-15 20:21 . 2009-03-15 20:21        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-03-15 20:21 . 2007-04-09 13:23        28,040        --a------        c:\windows\system32\mdimon.dll
2009-03-15 20:21 . 2009-03-15 20:21        400        --a------        c:\windows\ODBC.INI
2009-03-15 20:19 . 2009-03-15 20:20        <DIR>        d--------        c:\windows\SHELLNEW
2009-03-15 20:19 . 2009-03-15 20:19        <DIR>        d--------        c:\programme\Microsoft.NET
2009-03-15 20:04 . 2009-03-15 20:04        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 19:43 . 2009-03-15 19:54        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\ImgBurn
2009-03-15 19:26 . 2009-03-15 20:15        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-15 10:05 . 2006-09-01 10:22        155,648        --a------        c:\windows\system32\kemutb.dll
2009-03-15 10:05 . 2006-09-01 10:20        131,072        --a------        c:\windows\system32\KemUtil.dll
2009-03-15 10:05 . 2006-09-01 10:21        110,592        --a------        c:\windows\system32\KemWnd.dll
2009-03-15 10:05 . 2006-09-01 10:23        69,632        --a------        c:\windows\system32\KemXML.dll
2009-03-15 10:05 . 2006-09-01 12:32        3,712        --a------        c:\windows\system32\drivers\LBeepKE.sys
2009-03-15 10:04 . 2009-03-15 10:04        <DIR>        d--------        c:\programme\Logitech
2009-03-15 10:04 . 2009-03-15 10:05        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Logitech
2009-03-15 10:04 . 2006-07-19 12:03        94,208        --a------        c:\windows\KHALMNPR.Exe
2009-03-15 09:56 . 2009-03-15 09:56        <DIR>        d--------        c:\programme\Spybot - Search & Destroy
2009-03-15 09:56 . 2009-03-16 11:16        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-15 09:55 . 2009-03-15 09:55        <DIR>        d--------        c:\programme\Notebook Hardware Control
2009-03-15 09:55 . 2009-03-17 19:16        22,528        --a------        c:\windows\system32\drivers\nhcDriver.sys
2009-03-15 09:53 . 2009-03-15 18:14        <DIR>        d--------        c:\programme\Lavasoft
2009-03-15 09:53 . 2009-03-15 18:14        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-14 19:28 . 2009-03-14 19:28        0        --a------        c:\windows\nsreg.dat
2009-03-14 19:17 . 2009-03-14 19:17        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\Logitech
2009-03-14 19:14 . 2009-03-14 19:14        <DIR>        d--------        c:\programme\ImgBurn
2009-03-14 19:13 . 2009-03-14 19:13        <DIR>        d--------        c:\programme\Astonsoft
2009-03-14 19:12 . 2009-03-14 19:12        <DIR>        d--------        c:\programme\CCleaner
2009-03-14 19:12 . 2006-07-19 12:28        71,936        --a------        c:\windows\system32\drivers\LMouKE.Sys
2009-03-14 19:12 . 2006-07-19 12:27        55,936        --a------        c:\windows\system32\drivers\L8042MOU.SYS
2009-03-14 19:11 . 2008-06-14 18:32        273,024        ---------        c:\windows\system32\drivers\bthport.sys
2009-03-14 19:11 . 2006-07-19 12:28        36,736        --a------        c:\windows\system32\drivers\LHidUsbK.sys
2009-03-14 19:11 . 2006-07-19 12:29        27,136        --a------        c:\windows\system32\drivers\LHidKE.Sys
2009-03-14 19:11 . 2006-07-19 12:28        14,848        --a------        c:\windows\system32\drivers\LUsbKbd.sys
2009-03-14 19:11 . 2006-07-19 12:27        13,568        --a------        c:\windows\system32\drivers\L8042Kbd.sys
2009-03-14 19:08 . 2008-04-14 00:17        25,856        --a------        c:\windows\system32\drivers\usbprint.sys
2009-03-14 19:07 . 2009-03-14 19:07        <DIR>        d--------        c:\programme\Hewlett-Packard
2009-03-14 19:07 . 2001-08-18 04:54        87,040        --a------        c:\windows\system32\wiafbdrv.dll
2009-03-14 19:07 . 2001-08-18 04:54        87,040        --a--c---        c:\windows\system32\dllcache\wiafbdrv.dll
2009-03-14 19:07 . 2008-04-14 00:15        15,104        --a------        c:\windows\system32\drivers\usbscan.sys
2009-03-14 19:06 . 2009-03-14 19:06        <DIR>        d--------        c:\programme\IZArc
2009-03-14 19:03 . 2009-03-14 19:04        <DIR>        d--------        c:\programme\Winamp
2009-03-14 19:03 . 2009-03-14 19:03        <DIR>        d--------        c:\programme\Elaborate Bytes
2009-03-14 19:03 . 2009-03-14 19:04        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\Winamp
2009-03-14 19:01 . 2009-03-14 19:01        <DIR>        d--------        c:\programme\VideoLAN
2009-03-14 19:00 . 2009-03-14 19:00        <DIR>        d--------        c:\programme\xp-AntiSpy
2009-03-14 18:53 . 2009-03-15 19:26        <DIR>        d--------        c:\dokumente und einstellungen\Martin\Anwendungsdaten\Miranda
2009-03-14 18:52 . 2009-03-14 18:52        13,646        --a------        c:\windows\system32\wpa.bak
2009-03-14 18:49 . 2009-03-14 18:49        <DIR>        d--------        c:\windows\system32\Lang
2009-03-14 18:49 . 2009-03-17 19:43        2,826,272        --ahs----        c:\windows\system32\drivers\fidbox.dat
2009-03-14 18:49 . 2009-03-14 18:49        940,794        --a------        c:\windows\system32\LoopyMusic.wav
2009-03-14 18:49 . 2009-03-14 18:49        146,650        --a------        c:\windows\system32\BuzzingBee.wav
2009-03-14 18:49 . 2009-03-17 12:47        36,644        --ahs----        c:\windows\system32\drivers\fidbox.idx
2009-03-14 18:46 . 2009-03-14 18:46        <DIR>        d--------        c:\programme\Zone Labs
2009-03-14 18:46 . 2009-03-14 18:46        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-03-14 18:45 . 2009-03-14 18:45        <DIR>        d--------        c:\windows\tiinst
2009-03-14 18:45 . 2009-03-14 18:45        <DIR>        d--------        c:\programme\ltmoh
2009-03-14 18:44 . 2009-03-14 18:44        <DIR>        d--------        c:\windows\system32\RTCOM
2009-03-14 18:44 . 2009-03-14 18:44        <DIR>        d--------        c:\programme\TOSHIBA
2009-03-14 18:43 . 2009-03-14 18:43        <DIR>        d--------        c:\programme\Realtek
2009-03-14 18:43 . 2009-03-16 19:54        <DIR>        d--h-----        c:\programme\InstallShield Installation Information
2009-03-14 18:43 . 2009-03-14 18:43        <DIR>        d--------        c:\programme\DVD-RAM
2009-03-14 18:43 . 2006-05-05 14:59        16,206,848        --a------        c:\windows\RTHDCPL.exe
2009-03-14 18:42 . 2009-03-14 18:49        <DIR>        d--------        c:\windows\nview
2009-03-14 18:42 . 2009-03-14 18:42        <DIR>        d--------        c:\programme\Synaptics
2009-03-14 18:42 . 2005-04-17 21:20        487,424        --a------        c:\windows\RtlExUpd.dll
2009-03-14 18:42 . 2006-03-02 23:46        191,968        --a------        c:\windows\system32\drivers\SynTP.sys
2009-03-14 18:42 . 2006-05-01 15:06        180,224        --a------        c:\windows\system32\NVUNINST.EXE
2009-03-14 18:42 . 2006-05-01 21:04        180,224        --a------        c:\windows\system32\nvudisp.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-16 18:47        24,576        ----a-w        c:\windows\Internet Logs\xDB4.tmp
2009-03-16 17:02        53,760        ----a-w        c:\windows\Internet Logs\xDB3.tmp
2009-03-16 13:04        194,048        ----a-w        c:\windows\Internet Logs\xDB1.tmp
2009-03-16 13:04        1,462,784        ----a-w        c:\windows\Internet Logs\xDB2.tmp
2009-03-14 13:32        ---------        d-----w        c:\programme\Intel
2009-03-14 13:25        ---------        d-----w        c:\programme\microsoft frontpage
2009-03-14 13:23        ---------        d-----w        c:\programme\Online-Dienste
2009-03-14 13:23        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2009-03-12 15:30        142,504        ----a-w        c:\windows\system32\ElbyVCD.dll
2009-03-02 11:41        29,184        ----a-w        c:\windows\system32\drivers\VClone.sys
2009-02-17 17:11        24,232        ----a-w        c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33        89,256        ----a-w        c:\windows\system32\ElbyCDIO.dll
2009-02-09 14:04        1,846,912        ----a-w        c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761948]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 356352]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"Logitech Hardware Abstraction Layer"="c:\programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE" [2006-07-19 94208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-17 148888]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-03-15 671744]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RAMASST.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk
backup=c:\windows\pss\RAMASST.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-05-01 21:04 7557120 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRotateSysTray]
--a------ 2006-05-01 21:04 49152 c:\windows\system32\nvsysrot.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2009-01-29 23:11 52392 c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2009-03-09 16:49 37888 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-05-01 21:04 1519616 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-05-05 14:59 16206848 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AGRSMMSG"=AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2009-03-15 3712]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-03-15 603904]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{058BE40F-A037-FD4B-646E-AEAE989D9A67}]
c:\windows\system32\files\rundlll.exe s
.
Inhalt des "geplante Tasks" Ordners

2009-03-17 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Ad-Watch - c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.5.0\bin\jusched.exe
MSConfigStartUp-SUPERAntiSpyware - c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\lop8h53z.default\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 19:43:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1080)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-03-17 19:44:12
ComboFix-quarantined-files.txt  2009-03-17 18:44:10

Vor Suchlauf: 8.316.506.112 Bytes frei
Nach Suchlauf: 8,303,677,440 Bytes frei

246        --- E O F ---        2009-03-16 21:18:35


Edit: Mittlerweile denke ich echt drüber nach einfach alle Festplatten zu überprüfen,zu formatieren und alles neu zu installieren bzw. zusammenzusuchen..

Redwulf 17.03.2009 23:04

Lass uns nochmal was überprüfen:

Lade diese Dateien bitte bei Virustotal hoch und lass sie überprüfen
Code:

C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE

Wenns das ist was ich befürchte, können wirs sowieso vergessen.
Interessieren würde es mich schon...also Logs bitte posten

PS: Deine rundlll.exe ist immer noch da... Sprich dein Freund ist noch aktiv...

SpecialM 18.03.2009 08:46

Morgen, hier

AGRSMMSG.exe
Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.101        2009.03.18        -
AhnLab-V3        5.0.0.2        2009.03.18        -
AntiVir        7.9.0.116        2009.03.18        -
Authentium        5.1.0.4        2009.03.17        -
Avast        4.8.1335.0        2009.03.17        -
AVG        8.0.0.237        2009.03.17        -
BitDefender        7.2        2009.03.18        -
CAT-QuickHeal        10.00        2009.03.18        -
ClamAV        0.94.1        2009.03.18        -
Comodo        1062        2009.03.17        -
DrWeb        4.44.0.09170        2009.03.18        -
eSafe        7.0.17.0        2009.03.17        -
eTrust-Vet        31.6.6388        2009.03.09        -
F-Prot        4.4.4.56        2009.03.17        -
F-Secure        8.0.14470.0        2009.03.18        -
Fortinet        3.117.0.0        2009.03.18        -
GData        19        2009.03.18        -
Ikarus        T3.1.1.45.0        2009.03.18        -
K7AntiVirus        7.10.674        2009.03.17        -
Kaspersky        7.0.0.125        2009.03.18        -
McAfee        5556        2009.03.17        -
McAfee+Artemis        5556        2009.03.17        -
McAfee-GW-Edition        6.7.6        2009.03.18        -
Microsoft        1.4502        2009.03.18        -
NOD32        3944        2009.03.17        -
Norman        6.00.06        2009.03.17        -
nProtect        2009.1.8.0        2009.03.18        -
Panda        10.0.0.10        2009.03.18        -
PCTools        4.4.2.0        2009.03.17        -
Prevx1        V2        2009.03.18        -
Rising        21.21.21.00        2009.03.18        -
Sophos        4.39.0        2009.03.18        -
Sunbelt        3.2.1858.2        2009.03.18        -
Symantec        1.4.4.12        2009.03.18        -
TheHacker        6.3.3.0.283        2009.03.16        -
TrendMicro        8.700.0.1004        2009.03.18        -
VBA32        3.12.10.1        2009.03.17        -
ViRobot        2009.3.18.1653        2009.03.18        -
VirusBuster        4.6.5.0        2009.03.17        -
weitere Informationen
File size: 88204 bytes
MD5...: 0797714f98400d23e3951e33e709a4ce
SHA1..: f47bcdd8f1af13f6e5a8df2edb2a0138d12efd09
SHA256: 690870dd0d1acb4608a6900e6c6043e2c3fc25459b6bcdcd76b571f7469143a2
SHA512: df5ceb5dc1a3bda8e8a477ed11c2a64d7103654969719794808a2c6573c80bd4
9f65d523dfdbb849b3babf945180fc16976ac620a36767852f0a788b47717c91
ssdeep: 1536:F5LEqoNSU4wGEMb8osoJdWXLPDw0r6U90J7z/eeYxQQ4xMoCOf:nLEdWwM8
boJdWXLBT4xMoCOf
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (41.8%)
Win32 Executable MS Visual C++ (generic) (37.9%)
Win32 Executable Generic (8.5%)
Win32 Dynamic Link Library (generic) (7.6%)
Generic Win/DOS Executable (2.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40b4
timedatestamp.....: 0x439dd469 (Mon Dec 12 19:50:01 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7814 0x8000 6.38 e6c79d9ab7453176b19f2d2c93112c78
.rdata 0x9000 0x11ac 0x2000 3.62 551f53b7a23e1c76b1dadde1ae38d9dd
.data 0xb000 0xd158 0x1000 2.93 99532e6bb9e19358737949370c40d705
.rsrc 0x19000 0x13d8 0x2000 2.43 11eb7a829f80b275d02d2105ff716088

( 5 imports )
> KERNEL32.dll: ResetEvent, WaitForSingleObject, GetVersion, SetEvent, DeviceIoControl, CreateEventA, CreateThread, LoadLibraryA, CreateFileA, WaitForMultipleObjects, SetThreadPriority, SetPriorityClass, GetThreadPriority, GetPriorityClass, GetCurrentThread, GetCurrentProcess, CloseHandle, GetTickCount, Sleep, FreeLibrary, FlushFileBuffers, GetStringTypeW, GetStartupInfoA, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetModuleFileNameA, UnhandledExceptionFilter, TerminateProcess, IsBadWritePtr, HeapReAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, ExitProcess, GetCommandLineA, GetStdHandle, GetModuleHandleA, HeapFree, HeapAlloc, GetFileType, RtlUnwind, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, SetStdHandle, GetProcAddress, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA
> USER32.dll: EndPaint, TranslateMessage, TranslateAcceleratorA, GetMessageA, SendMessageA, FindWindowA, GetWindowLongA, SetWindowLongA, MessageBeep, GetDlgItem, SetWindowTextA, GetForegroundWindow, MessageBoxA, SetForegroundWindow, EndDialog, SetTimer, BeginPaint, DispatchMessageA, PostQuitMessage, DefWindowProcA, DestroyWindow, DialogBoxParamA, KillTimer, ShowWindow, CreatePopupMenu, AppendMenuA, GetCursorPos, TrackPopupMenuEx, DestroyMenu, UpdateWindow, PostMessageA, CreateWindowExA, LoadIconA, LoadCursorA, RegisterClassExA, LoadAcceleratorsA
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA
> SHELL32.dll: Shell_NotifyIconA
> WINMM.dll: waveInStart, waveInOpen, waveInReset, waveInPrepareHeader, waveInAddBuffer, waveOutRestart, waveInUnprepareHeader, waveOutWrite, waveOutOpen, waveOutReset, waveOutUnprepareHeader, waveOutClose, waveOutPrepareHeader, waveInClose

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=0797714f98400d23e3951e33e709a4ce' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=0797714f98400d23e3951e33e709a4ce</a>

Edit 1:Die andere Datei dauert noch sind ca.20 mb
Edit 2: Wenn werde da jetzt noch bis 10 Uhr warten,ansonsten nochmals Low-Level-Format,alle Festplatten scannen.Wäre aber schön wenn man rausbekommen könnte in welcher Datei er war/ist.

SpecialM 18.03.2009 09:50

Die Datei ist zu groß,habe es jetzt als txt hochgeladen unter:
File-Upload.net - log-RTHDCPL.EXE.txt

Redwulf 18.03.2009 10:01

Habs mir angeschaut:

Das ist vermutlich dein Freund: TR/Dropper.Gen = rundlll.exe

Da es sich bei dem Schädling um einen Dropper handelt, kann es sein, dass weitere, ggf. neue und unbekannte Malware auf dem Rechner schlummert. Diese wird dann vermutlich auch nicht erkannt werden. Das heißt, dass nach erfolgter Entfernung des Droppers noch immer Schädlinge an Bord sein können.

Wenn du willst können wir noch einen Versuch starten, ansonsten Neuaufsetzen leider.......

Bitte schau dir die entsprechenden Hinweise über Neuaufsetzen+Absicherung deines Systems hier im Board vorher an....

SpecialM 18.03.2009 10:10

dann werd ich wohl neuinstallieren, denkst du low-level-format ist notwendig oder reicht einfach die Formation im Windows Setup?

Redwulf 18.03.2009 10:18

Wie ich dir schon im PM geschrieben habe. Die Anwesenheit des Droppers ist eine üble Sache. Der kann alles mögliche auf deinen PC noch runterladen. Dein MBR ist in Ordnung, aber ich weiss nicht was noch alles zurück bleibt, oder ob sich mittlerweile etwas anderes noch eingenistet hat. Deshalb empfehle ich dir zunächst hier im Forum die Hinweise zum Neuaufsetzen und Absichern deines Systems. Low Level sollte eigendlich alle deine Probleme dann beseitigen.

Schade das ich dir nicht mehr weiter helfen konnte.

Bitte denke in Zukunft daran, die meisten Fehler werden mit der linken Maustaste gemacht......

@Admin...du kannst diesen Post abschließen

SpecialM 18.03.2009 12:51

So Hallo zusammen,

low-level-format habe ich hinter mir,installiere grad das SP3 zuerst (keine Sorge bin grad mit einem anderen Rechner online,der ist geschützt :)).

Im System32 Ordner befindet sich noch nichts besonderes,immerhin weiß ich das die Windows-Cd jetzt in Ordnung ist und das der Virus nicht drauf war.

Hatte vor jetzt trotzdem nochmal den Rechner zu scannen, mit welchem Programmen sollte ich das jetzt am besten machen?

SpecialM 18.03.2009 13:55

so und hier der aktuelle HiJackThis log:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:26, on 18.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
G:\Programme\Anti-Spyware\HiJackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 2757 bytes

sollte eig alles i.O sein oder?

Redwulf 18.03.2009 14:17

Alles unauffällig, alles klar soweit

SpecialM 18.03.2009 15:06

So bin jetzt fertig mit installieren, drum nochmal mein aktueller Bericht :

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:21, on 18.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4725 bytes


Redwulf 18.03.2009 16:54

Alles ok,

Happy surving.......


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19