Trojaner-Board - PC arbeitet ständig, anti-malware hängt sich auf

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PC arbeitet ständig, anti-malware hängt sich auf (https://www.trojaner-board.de/75118-pc-arbeitet-staendig-anti-malware-haengt.html)

PC arbeitet ständig, anti-malware hängt sich auf

halli hallo, nun schon zum 2. mal heute.
diesmal geht es um den pc meines vaters. er braucht ewig lange um sich hoch, bzw. runterzufahren und hängt verschieden programme einfach auf, die anti-malware prüfung läuft nicht, er "arbeitet" ständig, einfaches öffnen von ordnern gestaltet sich zur minuten-sache. haben es schon mit einem registry-booster von microsoft probiert, ohne erfolg.

könnte sich jemand bitte den hijack anschauen?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:24:34, on 11.07.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe

C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\cisvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\FRITZ!DSL\Awatch.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Logitech\Profiler\lwemon.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\TomTom HOME 2\HOMERunner.exe

C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe

C:\Programme\FRITZ!\IWatch.exe

C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\Windows Desktop Search\WindowsSearch.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\UPHClean\uphclean.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.gmx.net/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.gmx.net/home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.gmx.net/suchbox/gmxsuche?su=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von GMX

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"hxxp://www.mokitown.de/moki_0_content.html"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE

O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - hxxp://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - hxxp://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - hxxp://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - hxxp://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - hxxp://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - hxxp://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - hxxp://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - hxxps://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204327486250

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} - hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - hxxp://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253

O17 - HKLM\System\CCS\Services\Tcpip\..\{64DD2592-AAB1-4009-BF0C-EDDDAEEBEE13}: NameServer = 194.25.2.129

O17 - HKLM\System\CCS\Services\Tcpip\..\{9928DC87-B89D-4181-A58C-9DE8481D935C}: NameServer = 217.237.149.205 217.237.151.51

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF911D8D-9578-420D-B62D-93FDF675951E}: NameServer = 192.168.120.252,192.168.120.253

O17 - HKLM\System\CS1\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253

O17 - HKLM\System\CS2\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253

O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)

O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe

O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
 

--

End of file - 13216 bytes

die ergebnisse der malware-prüfung hätte ich ja auch noch gepostet, aber die hat sich nach 94000 dateien und 1,5 stunden einfach mal aufgehängt :mad:

viele grüße, stephanie

:hallo:

Bei dir sind Spuren eines Silent Banker zu finden :(
Bitte ändere als erstes alle Zugangs Passwörter
Wurde Online Banking betrieben? dann das Konto in den nächsten Wochen genau im auge behalten
Ich kann versuchen dies zu bereinigen, eine garantie kann ich Dir nicht geben

1.

Lade Random's System Information Tool herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

2.
Wende bitte Gmer wie beschrieben an

alle passwörter? :( ... die texte sind zu lang, deshalb werd ich sie anhängen...

hier die log, die info und das ergebnis von gmer...

lg und gute nacht.

Ja alle

Wurde schon eigene Reinigunsversuche unternommen ?
Wenn ja poste mir noch vorhandene Logfiles

1.
downloade Dir bitte Java Update 14

Deinstalliere nun
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 4
J2SE Runtime Environment 5.0 Update 5
J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment SE v1.4.2_04
Java 2 Runtime Environment SE v1.4.2_07
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 7
Spybot
Bonjour
Installiere nun Java Update 14

2.
Bei dir läuft Boonty Games
Bitte gehe wie folgt vor
Schliesse alle offenen Programme

Start >> ausführen >> cmd (Hineinschreiben) OK
gib nun bitte folgendes in das DOS Fenster ein

sc stop Boonty Games --> Enter
sc delete Boonty Games--> Enter
Starte den Rechner neu auf

3.
Poste mir bitte die letzte Logfile von Malwarebytes
Starte Malwarebytes--> Scan Berichte--> letzte Logfile (ganz oben) kopieren posten
Lass Malwarebytes noch einmal durchlaufen

4.

Bitte lade Registry Search.zip runter und speichere es auf deinem Desktop.

Extrahiere den Inhalt der Zip-Datei auch auf den Desktop.
Doppel-klicke auf regsearch.exe um das Program zu starten
- Gib nun folgendes in das Feld ein
  lsd_f3
Nun klicke auf "OK." Registry Search wird nun die Registrierung durchsuchen und einen Bericht mit den Funden erstellen.
Poste das Ergebnis in deiner nächsten Antwort.

Bei keinen Funden bitte Rückmeldung

5.
Lösche unter C:\rsit\ die log.txt und info.txt
starte RSIT erneut und poste mir die Logfiles

also... ein paar sachen haben nicht geklappt, aber nun mal zu den punkten:

1.
erledigt

2.
das funktioniert nicht: er meint boonty games sei nicht installiert.

3.
wie ich zu anfang schon geschrieben hatte läuft malwarebytes nicht durch. habe es gestern heruntergeladen und bisher schon drei versuche gestartet, aber nach einer stunde hat sich das ganze immer aufgehangen. ich versuchs nochmal.

4. + 5.: done.

mit den anhängen hab ich grad noch probleme... die log und die info sind erstmal dabei und der hijack... der scan von der registry mechanic folgt noch...

so, jetzt hats geklappt...

musste die datei teilen da sie zu groß war.

lg

Bitte jeden Punkt der Reihe nach abarbeiten
bei Problemen teile mir diese bitte mit, bevor Du weiter machst
anders bringen mir die Logfiles nichts

bitte teile mir mit ob Malwarebytes durchgelaufen ist
und die logfile von regsearch brauche ich noch

malwarebytes hat sich nach 1,5 stunden und keinem fund aufgehängt.
die log des regsearch sieht nach zweimaligem aufhängen wie folgt aus:

Code:

Windows Registry Editor Version 5.00
 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.6.0
 

; Results at 12.07.2009 13:57:43 for strings:

;  'lsd_f3'

; Strings excluded from search:

;  (None)

; Search in: 

; Registry Keys  Registry Values  Registry Data  

; HKEY_LOCAL_MACHINE  HKEY_USERS  
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\f3dsl]

; Contents of value:

;   lsd_f3.dll 

"DllName"=hex(2):6c,00,73,00,64,00,5f,00,66,00,33,00,2e,00,64,00,6c,00,6c,00,\

  00,00

"Startup"="LSD_F3"
 

; End Of The Log...

Schliesse alle Programme
start >> ausführen >> cleanmgr (hinein schreiben) >> OK

2.
start >> ausführen >> %temp% (hinein schreiben) >>
Lösche nur den Inhalt, nicht den Ordner selber
Temp die noch verwendet werden, können nicht gelöscht werden

3.

Starte HJT >> do a scan only >> setze ein häckchen bei

Code:

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)

nun auf Fixed checked klicken, starte den Rechner neu auf

4.

Starte HJT >> Config >> delete an NT Service
Boonty Games hineinschreiben
OK
Starte den Rechner erneut

5.
http://www.trojaner-board.de/51871-a...tispyware.html

6.
http://www.trojaner-board.de/59299-a...eb-cureit.html

Poste alle Logfiles und ein neues HJT log

so, also es hat alles soweit funktioniert...
hier das ergebnis vom antispyware scan

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 07/12/2009 at 05:21 PM
 

Application Version : 4.26.1006
 

Core Rules Database Version : 3988

Trace Rules Database Version: 1928
 

Scan type       : Complete Scan

Total Scan Time : 01:43:51
 

Memory items scanned      : 623

Memory threats detected   : 0

Registry items scanned    : 6166

Registry threats detected : 5

File items scanned        : 100983

File threats detected     : 0
 

Registry Cleaner Trial

        HKCR\Install.Install

        HKCR\Install.Install\CLSID

        HKCR\Install.Install\CurVer

        HKCR\Install.Install.1

        HKCR\Install.Install.1\CLSID

hier das von dr.web

Code:

24hbildexpress_FotobuchClient.exe\data056;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\24hbildexpress_FotobuchClient.exe;Trojan.Siggen.2725;;

24hbildexpress_FotobuchClient.exe/data446\data003;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\24hbildexpress_FotobuchClient.exe/data446;Trojan.Siggen.2725;;

data446;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner;Archiv enthält infizierte Objekte;;

24hbildexpress_FotobuchClient.exe;C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner;Archiv enthält infizierte Objekte;Verschoben.;

eMule44b-v16-webcache.exe\data002;C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie\eMule44b-v16-webcache.exe;BackDoor.Emule.44;;

eMule44b-v16-webcache.exe;C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie;Archiv enthält infizierte Objekte;Verschoben.;

slghex.dll;C:\Programme\Gemeinsame Dateien\Sandlot Shared;Adware.SpywareStorm;Verschoben.;

und zuletzt noch der hijack

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:32:43, on 12.07.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe

C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\FRITZ!DSL\Awatch.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Logitech\Profiler\lwemon.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\TomTom HOME 2\HOMERunner.exe

C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\FRITZ!\IWatch.exe

C:\Programme\UPHClean\uphclean.exe

C:\Programme\Windows Desktop Search\WindowsSearch.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\WINDOWS\System32\svchost.exe

C:\DOKUME~1\Besitzer\LOKALE~1\Temp\SSUPDATE.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.gmx.net/suchbox/gmxsuche?su=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von GMX

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.mokitown.de/moki_0_content.html"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE

O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204327486250

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253

O17 - HKLM\System\CCS\Services\Tcpip\..\{64DD2592-AAB1-4009-BF0C-EDDDAEEBEE13}: NameServer = 194.25.2.129

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF911D8D-9578-420D-B62D-93FDF675951E}: NameServer = 192.168.120.252,192.168.120.253

O17 - HKLM\System\CS1\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253

O17 - HKLM\System\CS2\Services\Tcpip\..\{1E822E44-0D9E-4BCC-8B97-1134FF6E1033}: NameServer = 192.168.122.252,192.168.122.253

O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe

O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
 

--

End of file - 12451 bytes

lg, stephanie

Zitat:

Zitat von Gentlman (Beitrag 447001)

5.
Lösche unter C:\rsit\ die log.txt und info.txt
starte RSIT erneut und poste mir die Logfiles

Bitte nicht PNs verschicken bevor Du nicht selber kontrolliert hast, ob auch alles was verlangt wird erledigt wurde :)

Zitat:

Zitat von Gentlman (Beitrag 447060)

Code:

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)

??? also da steht nich, dass ich den rsit nochmal starten sollte, die nachricht die du meinst is doch viel älter :confused: also das musst du dazu sagen, dass ich immer alles auch aus den vorherigen nachrichten erledigen muss, das kann ich doch nich wissen :confused:

die ganzen letzten dinge hab ich nämlich brav erledigt...
nagut, der rsit folgt morgen.

lg

Sorry :o

war mein Fehler
Ja bitte eine neue RSIT Logfile posten.

2.

Wende bitte Gmer wie beschrieben an. Auch diese Logfile bitte posten

ja, kein ding :)

hier ist der gmer log

Code:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-07-17 20:15:12

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

SSDT            8987DC70                                                                                                ZwAlertResumeThread

SSDT            89881C70                                                                                                ZwAlertThread

SSDT            8992C588                                                                                                ZwAllocateVirtualMemory

SSDT            898C8C70                                                                                                ZwAssignProcessToJobObject

SSDT            8999C9A8                                                                                                ZwConnectPort

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)              ZwCreateKey [0xA9BE7040]

SSDT            89BB6AE0                                                                                                ZwCreateMutant

SSDT            898DB0D8                                                                                                ZwCreateSymbolicLinkObject

SSDT            89921E18                                                                                                ZwCreateThread

SSDT            89865248                                                                                                ZwDebugActiveProcess

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)              ZwDeleteKey [0xA9BE72C0]

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)              ZwDeleteValueKey [0xA9BE7820]

SSDT            8992E920                                                                                                ZwDuplicateObject

SSDT            898AB2B8                                                                                                ZwFreeVirtualMemory

SSDT            89877948                                                                                                ZwImpersonateAnonymousToken

SSDT            898796E0                                                                                                ZwImpersonateThread

SSDT            8989F730                                                                                                ZwLoadDriver

SSDT            898AAA80                                                                                                ZwMapViewOfSection

SSDT            89892A68                                                                                                ZwOpenEvent

SSDT            8992DDA8                                                                                                ZwOpenProcess

SSDT            89918108                                                                                                ZwOpenProcessToken

SSDT            898A5E08                                                                                                ZwOpenSection

SSDT            89954650                                                                                                ZwOpenThread

SSDT            8993DC08                                                                                                ZwProtectVirtualMemory

SSDT            89BDDB28                                                                                                ZwResumeThread

SSDT            8989F7B0                                                                                                ZwSetContextThread

SSDT            89935DA8                                                                                                ZwSetInformationProcess

SSDT            898A2C70                                                                                                ZwSetSystemInformation

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)              ZwSetValueKey [0xA9BE7A70]

SSDT            8986DB78                                                                                                ZwSuspendProcess

SSDT            89872E08                                                                                                ZwSuspendThread

SSDT            899291A8                                                                                                ZwTerminateProcess

SSDT            898B0C70                                                                                                ZwTerminateThread

SSDT            \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                         ZwUnloadKey [0xA6E3D6D0]

SSDT            8992D108                                                                                                ZwUnmapViewOfSection

SSDT            898AEC30                                                                                                ZwWriteVirtualMemory
 

INT 0x01        \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.)  F69BF541

INT 0x03        \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.)  F69BF5E7
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntoskrnl.exe!ZwYieldExecution + 186                                                                     804E49C0 4 Bytes  JMP B497D357 

?               SYMEFA.SYS                                                                                              Das System kann die angegebene Datei nicht finden. !

?               C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                             Das System kann die angegebene Datei nicht finden. !
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\system32\SearchIndexer.exe[1088] kernel32.dll!WriteFile                                      7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                               SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                               SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                             SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
 

---- EOF - GMER 1.0.15 ----

und im anhang die info und log vom rsit...
hoffe dass jetz alles beisammen ist. lg

Hy

Ich habe gerade folgendes gesehen

Code:

eMule44b-v16-webcache.exe\data002;C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\Eigene Bilder\Familie\eMule44b-v16-webcache.exe;BackDoor.Emule.44

Was ist ein Backdoor
bitte lesen

Es ist an den Logfiles nichts mehr zu sehen.Ob alles weg ist kann ich Dir bei solch Funden nicht garantieren.
Ich empfehle generell bei Backdoors ein Neu aufsetzen
Hier steht WARUM

Bitte ändere auf jeden Fall von einem sauberen Rechner alle Zugangspasswörter
Wenn Du mit der Reinigung trotz Restrisiken fortfahren möchtest.

1.
Deinstalliere Malwarebytes
Downloade es Dir von einem dieser Downloadspiegel
Malwarebytes
MajorGeeks.com
Wenn es nicht läuft stoppe bitte und gebe mir bescheid

2.
Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen