Trojaner-Board - Werde Virus/Trojaner nicht los

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss (https://www.trojaner-board.de/76404-virus-trojaner-los-vermtl-win32-trojan-tdss.html)

habe GMER jetzt zig mal im Normalmodus probiert, aber jedes Mal hat der Rechner neu gestartet. Einmal hab ich die Files nicht mitgescannt, dabei kam folgendes .log-File:

Code:

GMER 1.0.15.15020 [5mzzf5hj.exe] - h**p://www.gmer.net

Rootkit scan 2009-08-15 12:49:13

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                        ZwCreateKey [0xF764087E]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwCreateThread [0xF78A9C40]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwMapViewOfSection [0xF78A98D0]

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                        ZwSetValueKey [0xF7640BFE]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwShutdownSystem [0xF78A9E70]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwTerminateProcess [0xF78A9E00]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           tcpip.sys!IPTransmit + 10FC                                                                              F3E50D3A 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           tcpip.sys!IPTransmit + 2A52                                                                              F3E52690 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           tcpip.sys!IPRegisterProtocol + 930                                                                       F3E68454 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           wanarp.sys                                                                                               F6B6F3FD 7 Bytes  CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                 [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                     [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                               [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                        [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                         [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                 [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                   [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                        [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                       [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                       [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\Tcpip \Device\Ip                                                                                 wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                Lbd.sys (Boot Driver/Lavasoft AB)
 

Device          \Driver\Tcpip \Device\Udp                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\RawIp                                                                              wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\Tcpip \Device\IPMULTICAST                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!  71230
 

---- EOF - GMER 1.0.15 ----

werde es jetzt aber noch im abgesicherten Modus probieren, danke für den Tipp...

habe GMER mehrmals im abgesicherten Modus angestoßen, aber auch da ist Windows jedesmal neu gestartet.

Wollte dann Avira AntiRootkit Tool benutzen, aber da kam die Fehlermeldung:

Zitat:

One of the Avira AntiVir Desktop products must be installed first. The application will exit.

habe zwar Avira AntiVir Personal - Free AntiVirus, aber das scheint nicht zu reichen. Ich weiß nicht, ob Benutzerkonten dabei eine Rolle spielen können, ich habe auf dem PC nur ein Benutzerkonto als Administratorkonto, damit er dieses beim Hochfahren gleich startet.

Habe jetzt noch Prevx runtergeladen und dieses zeigte einen Fund an - ich hänge den Screenshot mit dran:

http://img36.imageshack.us/img36/4787/prevxu.jpg

Ich habe jetzt auch nochmal RSIT laufen lassen, hier das log.txt (Teil 1):

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by *** at 2009-08-15 21:11:40

Microsoft Windows XP Professional Service Pack 3

System drive C: has 11 GB (4%) free of 285 GB

Total RAM: 1022 MB (35% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:11:43, on 15.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\SMSC\SetIcon.exe

C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Home Cinema\TV Enhance\TVEService.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

C:\Programme\Brother\ControlCenter2\brctrcen.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\OpenOffice.org 2.4\program\soffice.exe

C:\Programme\OpenOffice.org 2.4\program\soffice.BIN

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\Prevx\prevx.exe

C:\Dateien\Downloads\RSIT.exe

C:\Programme\Trend Micro\HijackThis\***.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"

O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "

O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Programme\Internet Radio\Radio.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com/

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152

O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe

O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe

O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 9671 bytes

RSIT log.txt Teil 2:

Code:



======Scheduled tasks folder======
 

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

SSVHelper Class - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 434279]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

Google Toolbar Helper - c:\programme\google\googletoolbar3.dll [2007-01-20 2427968]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]

FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdmcks.dll [2006-08-20 81920]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar3.dll [2007-01-20 2427968]

{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2004-04-16 405504]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"ehTray"=C:\WINDOWS\ehome\ehtray.exe [2005-09-29 67584]

"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-10-09 16236032]

"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-10-06 7700480]

"nwiz"=nwiz.exe /install []

"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]

"SetIcon"=\Programme\SMSC\SetIcon.exe [2004-04-28 42496]

"LanguageShortcut"=C:\Programme\Home Cinema\PowerDVD\Language\Language.exe [2006-05-18 49152]

"TVEService"=C:\Programme\Home Cinema\TV Enhance\TVEService.exe [2006-10-19 151552]

"InstantOn"=C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [2006-06-21 93640]

"wlconfig"=C:\Programme\WLAN Monitor\wlconfig.exe [2006-03-06 1347584]

"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]

"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-10-25 282624]

"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2006-10-30 256576]

"SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760]

"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]

"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]

"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2004-03-09 40960]

"SetDefPrt"=C:\Programme\Brother\Brmfl04g\BrStDvPt.exe [2004-11-11 49152]

"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe [2004-11-11 864256]

"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]

"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]

C:\Programme\BullGuard Software\BullGuard\bullguard.exe -boot []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]

C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe [2006-10-20 814080]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=3
 

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart

OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2006-06-19 702768]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

"NoDrives"=0
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"

"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"

"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"

"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"

"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

"C:\Programme\Trillian\trillian.exe"="C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian"

"C:\WINDOWS\system32\usmt\migwiz.exe"="C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen"

"C:\Programme\WS_FTP\WS_FTP95.exe"="C:\Programme\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"

"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"

"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger"

"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax"

"C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 

======List of files/folders created in the last 1 months======
 

2009-08-15 21:07:29 ----SHD---- C:\RECYCLER

2009-08-15 20:49:54 ----D---- C:\Programme\Prevx

2009-08-15 20:49:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI

2009-08-15 20:49:40 ----A---- C:\WINDOWS\wininit.ini

2009-08-15 19:46:10 ----D---- C:\WINDOWS\LastGood

2009-08-15 16:14:20 ----A---- C:\WINDOWS\ntbtlog.txt

2009-08-14 19:49:01 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$

2009-08-14 19:48:57 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$

2009-08-14 19:48:53 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$

2009-08-14 19:48:47 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$

2009-08-14 19:48:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$

2009-08-14 19:48:37 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$

2009-08-14 19:48:33 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$

2009-08-14 19:48:26 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$

2009-08-14 19:46:56 ----A---- C:\WINDOWS\imsins.BAK

2009-08-14 19:46:51 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$

2009-08-14 15:34:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

2009-08-14 15:34:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware

2009-08-14 15:34:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-08-14 15:13:46 ----A---- C:\ComboFix.txt

2009-08-14 14:38:47 ----A---- C:\Boot.bak

2009-08-14 14:38:40 ----RASHD---- C:\cmdcons

2009-08-14 14:36:04 ----A---- C:\WINDOWS\zip.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\SWXCACLS.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\SWSC.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\SWREG.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\sed.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\PEV.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\NIRCMD.exe

2009-08-14 14:36:04 ----A---- C:\WINDOWS\grep.exe

2009-08-14 14:35:45 ----SD---- C:\test

2009-08-14 11:25:16 ----D---- C:\rsit

2009-08-14 10:58:09 ----D---- C:\Programme\CCleaner

2009-08-09 23:18:12 ----D---- C:\WINDOWS\ERDNT

2009-08-09 23:18:10 ----SD---- C:\ComboFix1

2009-08-09 23:17:52 ----D---- C:\Qoobox

2009-08-09 20:13:53 ----D---- C:\WINDOWS\Minidump

2009-08-09 14:30:43 ----D---- C:\Programme\Trend Micro

2009-08-09 09:19:27 ----D---- C:\WINDOWS\pss

2009-08-08 22:19:34 ----A---- C:\WINDOWS\system32\lsdelete.exe

2009-08-08 20:20:42 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}

2009-08-08 20:20:31 ----D---- C:\Programme\Lavasoft

2009-08-08 20:20:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2009-07-30 00:31:54 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$

2009-07-30 00:31:48 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$

2009-07-30 00:31:11 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$

2009-07-30 00:29:29 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$

2009-07-22 10:26:45 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GetRight

2009-07-22 10:26:33 ----D---- C:\Programme\GetRight
 

======List of files/folders modified in the last 1 months======
 

2009-08-15 21:11:41 ----D---- C:\WINDOWS\Prefetch

2009-08-15 20:49:54 ----RD---- C:\Programme

2009-08-15 20:49:54 ----D---- C:\WINDOWS\system32\drivers

2009-08-15 20:49:40 ----D---- C:\WINDOWS

2009-08-15 20:19:06 ----D---- C:\Programme\Mozilla Firefox

2009-08-15 19:46:11 ----HD---- C:\WINDOWS\inf

2009-08-15 19:45:46 ----D---- C:\WINDOWS\Temp

2009-08-15 17:52:45 ----A---- C:\WINDOWS\NeroDigital.ini

2009-08-15 17:52:16 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2

2009-08-15 17:51:46 ----D---- C:\WINDOWS\Registration

2009-08-15 17:51:44 ----D---- C:\Programme\WLAN Monitor

2009-08-15 17:51:42 ----D---- C:\WINDOWS\system32\CatRoot2

2009-08-15 17:18:39 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-08-15 02:55:01 ----HD---- C:\WINDOWS\$hf_mig$

2009-08-14 21:56:51 ----D---- C:\Programme\AntiVir PersonalEdition Classic

2009-08-14 21:56:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2009-08-14 19:50:09 ----D---- C:\WINDOWS\system32

2009-08-14 19:49:03 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-08-14 19:48:34 ----D---- C:\Programme\Outlook Express

2009-08-14 19:47:03 ----D---- C:\WINDOWS\Debug

2009-08-14 15:06:19 ----A---- C:\WINDOWS\system.ini

2009-08-14 15:03:22 ----D---- C:\WINDOWS\system32\config

2009-08-14 15:01:50 ----D---- C:\WINDOWS\system

2009-08-14 15:01:49 ----SHD---- C:\WINDOWS\Installer

2009-08-14 14:59:55 ----D---- C:\WINDOWS\AppPatch

2009-08-14 14:59:49 ----D---- C:\Programme\Gemeinsame Dateien

2009-08-14 14:38:47 ----RASH---- C:\boot.ini

2009-08-11 23:19:54 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Free Download Manager

2009-08-09 09:55:12 ----A---- C:\WINDOWS\win.ini

2009-08-08 20:21:39 ----DC---- C:\WINDOWS\system32\DRVSTORE

2009-08-08 20:21:35 ----SD---- C:\WINDOWS\Tasks

2009-08-08 20:20:42 ----D---- C:\Config.Msi

2009-08-08 20:20:25 ----D---- C:\WINDOWS\WinSxS

2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll

2009-08-03 01:05:22 ----D---- C:\Programme\Trillian

2009-08-01 00:20:02 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BOM

2009-07-31 21:56:06 ----D---- C:\Dateien

2009-07-31 09:01:34 ----D---- C:\Programme\Biet-O-Matic

2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe

2009-07-30 00:31:37 ----D---- C:\WINDOWS\system32\de-de

2009-07-30 00:31:37 ----D---- C:\Programme\Internet Explorer

2009-07-29 17:13:27 ----A---- C:\WINDOWS\BRWMARK.INI

2009-07-22 10:29:23 ----D---- C:\Downloads

2009-07-19 15:25:34 ----A---- C:\WINDOWS\system32\mshtml.dll

2009-07-19 15:25:30 ----A---- C:\WINDOWS\system32\ieframe.dll

2009-07-17 21:01:06 ----A---- C:\WINDOWS\system32\atl.dll
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]

R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]

R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []

R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.10.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2006-10-23 21275]

R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]

R3 3xHybrid;Philips SAA713x PCI Card; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]

R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]

R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []

R3 FETND5BV;VIA Rhine-Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2006-03-15 43008]

R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]

R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-10-09 4381696]

R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]

R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-06 3992608]

R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]

R3 X10Hid;X10 Hid Device; C:\WINDOWS\System32\Drivers\x10hid.sys [2005-11-28 7040]

R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]

S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295]

S3 catchme;catchme; \??\C:\test\catchme.sys []

S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]

S3 DMSKSSRh;DMSKSSRh; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys []

S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]

S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]

S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]

S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]

S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]

S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]

S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]

S3 RT73;RT73 USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys [2006-06-08 344064]

S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]

S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]

S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 accsvc;AccSys WiFi Component; C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 147456]

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-25 68865]

R2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe [2009-08-15 4368952]

R2 ehRecvr;Media Center Receiver Service; C:\WINDOWS\eHome\ehRecvr.exe [2006-10-09 237568]

R2 ehSched;Media Center-Planerdienst; C:\WINDOWS\eHome\ehSched.exe [2005-08-05 102912]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-07-03 1029456]

R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-04-24 73728]

R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]

R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]

R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-10-06 159810]

R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-10-19 262247]

R2 SmcService;Sygate Personal Firewall; C:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760]

R2 srvcPVR;Sceneo PVR Service; C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]

R2 TVECapSvc;TVEnhance Background Capture Service (TBCS); C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]

R2 TVESched;TVEnhance Task Scheduler (TTS)); C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]

R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]

R3 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-25 151297]

R3 iPod Service;iPod Service; C:\Programme\iPod\bin\iPodService.exe [2006-10-30 492608]

S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]

S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952]

S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-03 38912]

S3 usnsvc;Messenger Sharing USN Journal Reader-Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

S3 WMConnectCDS;Windows Media Connect-Dienst; C:\Programme\Windows Media Connect 2\wmccds.exe [2005-10-06 856064]

S4 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 138168]
 

-----------------EOF-----------------

Die Wiederherstellungspunkte habe ich erstmal noch nicht entfernt.

soeben meldet mir Prevx noch einen zweiten Fund:
bosr[1].exe in c:\windows\system32\systemprofile\lokale einstellungen\temporary internet files\conetent.ie5\01mjgxib\
mit gleichem Status und gleichem High Risk Cloaked Malware

Hi,

das sieht nicht gut aus, das ist/war ein Backdoor Trojaner drauf:
S3 DMSKSSRh;DMSKSSRh; \??\C:\DOKUME~1\***\LOKALE~1\Temp\DMSKSSRh.sys []

Bei den ganzen Ungereimtheiten wäre ich für Neuaufsetzen, ich schaue mir morgen aber mal noch mal die Logs durch...

Lass die von Prevx angemoserten Dateien mal bei virustotal.com prüfen...
Poste die Logs...

Wenn sie ausser von prevx erkannt werden, lassen wir mal Avenger los...

chris

ok, danke. (auch wenn's mir vor dem Neuaufsetzen etwas graust)

Ich hatte heute auch nochmal Antivir drüberlaufen lassen, das hat die beiden von Prevx entdeckten Files (bosr[1].exe und fqfvi.exe) auch gefunden. Überrascht hat mich UACjmmpcsquof.dll, das hatte glaube ich Combofix schon gefunden. Hier die Funde im Detail:

Code:

In der Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01MJGXIB\bosr[1].exe'

wurde ein Virus oder unerwünschtes Programm 'TR/Runner.QC.1' [trojan] gefunden.

Ausgeführte Aktion: Datei löschen
 

In der Datei 'C:\WINDOWS\system32\fqfvi.exe'

wurde ein Virus oder unerwünschtes Programm 'TR/Runner.QC.1' [trojan] gefunden.

Ausgeführte Aktion: Datei löschen
 

Die Datei 'C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjmmpcsquof.dll.vir'

enthielt einen Virus oder unerwünschtes Programm 'TR/Alureon.30208R' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP891\A0077789.dll'

enthielt einen Virus oder unerwünschtes Programm 'TR/Alureon.30208R' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP894\A0090056.exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Runner.QC.1' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXMNWP2Z\cosr[1].exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Runner.QC' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.

Werde Antivir morgen nochmal drüberlaufen lassen, um zu schauen, ob es die Files immernoch findet...

Hi,

das hier ist aus dem backupverzeichnis von Combofix:
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACjmmpcsquof.dll.vir'

Das RSIT log (HJ-Teil) ist Ok...

GMER ist nicht Okay: {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} gefällt mir überhaupt nicht...

Flekman:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Code:

B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text.

Sophos Antirootkit:
Downloade Sophos Antirookit und Scanne Dein gesamtes System, poste das Logfile.
Benutzeranleitung (english): http://www.sophos.de/sophos/docs/eng/manuals/sar_15_umeng.pdf
http://www.chip.de/downloads/Sophos-Anti-Rootkit_21584106.html
Mit Registrierung von der Herstellerpage: http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

Dann noch um das System eingermaßen wieder hinzubiegen:
System Reparieren:
Vorher ggf. Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Die Systemwiederherstellung muß unbedingt auch noch resettet werden (siehe vorangegangenes Posting)...

Guten Gewissens kann ich Dir leider nur zum Neuaufsetzen raten!

chris

Danke, Chris.

Antivir hat heute Vormittag nichts mehr gefunden.

Habe eben Flekman drüber laufen lassen. Ergebnis:

Zitat:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8" 17.08.2009 15:54:43

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}]

edit: ich deaktiviere und aktiviere jetzt die Systemwiederherstellung wie beschrieben (anschließend Sohos Antirootkit). Sollte ich das Combofix-Backup unter C:\WINDOWS\ERDNT auch löschen?

Sophos Anti-Rootkit:

Code:

Area:        Local hard drives

Description:        Unknown hidden file 

Location:        C:\Dokumente und Einstellungen\Familie Seitz\Desktop\sar_15_sfx.exe

Removable:        Yes (but clean up not recommended for this file)

Notes:        (no more detail available) 
 
 

Area:        Local hard drives

Description:        Unknown hidden file 

Location:        C:\Programme\OpenOffice.org 2.4\program\soffice.bin

Removable:        Yes (but clean up not recommended for this file)

Notes:        (no more detail available) 
 
 

Area:        Local hard drives

Description:        Unknown hidden file 

Location:        C:\Programme\OpenOffice.org 2.4\program\soffice.exe

Removable:        Yes (but clean up not recommended for this file)

Notes:        (no more detail available) 
 
 

Area:        Local hard drives

Description:        Unknown hidden file 

Location:        C:\Programme\Canon\PhotoRecord\OpPrintCom\opapi11.dll

Removable:        Yes (but clean up not recommended for this file)

Notes:        (no more detail available) 
 
 

Area:        Local hard drives

Description:        Unknown hidden file 

Location:        C:\Dateien\***\Webseiten\***\neu\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\overlay_get_clicks.js

Removable:        Yes (but clean up not recommended for this file)

Notes:        (no more detail available) 
 
 

Area:        Local hard drives

Description:        Unknown hidden file 

Location:        C:\Dateien\***\Uni\Diplomarbeit\Diplomarbeit old\Quellen\Schröder, Michael (2003)  Socially Responsible Investments in Germany, Switzerland and the United States - An Analysis of Investment Funds and Indices; ZEW Discussion Paper No 03-10, 2003  dp0310.pdf

Removable:        Yes (but clean up not recommended for this file)

Notes:        (no more detail available)

Habe Advanced SystemCare V3 ausgeführt:

http://img190.imageshack.us/img190/9...systemcare.jpg

Hi,

das sieht nicht schlecht aus, was treibt der Rechner?

Den Eintrag aus der Reg würde ich gerne noch entfernen wollen (mach ich morgen). Die Sachen von Sophos sind soweit ok...

chris

habe heute nochmal Antivir und Adaware komplett drüberlaufen lassen, beide brachten keine weiteren Funde.
Der PC läuft soweit wieder weitgehend normal, lediglich Autostart funktioniert nicht (es kommt nicht das Auswahlfenster, wenn man bspw. eine Audio-CD einlegt) und der Antivir Guard ist beim Start nicht automatisch aktiviert (habe noch herausgefunden, wo ich das ggf. umstellen kann).

danke und viele Grüße
Joe

Hi,

versuche noch wegen dem Reg.Key Infos einzuholen, bis jetzt kein Echo (nicht das wir was wichtiges killen [glaub ich zwar nicht], aber sischer is sischer ;o)...)
Bin mir fast sicher, dass wenn Du ihn versuchst über RegEdit zu suchen Du ihn nicht finden wirst bzw. nicht an die Inhalte rankommst....

chris

Hi Chris,

danke für die Rückmeldung.
Habe {B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8} in der Registry gefunden, es ist nicht wie bei vielen anderen ein "+"-Zeichen davor (falls das etwas zu bedeuten hat). Im rechten Teil des Registrierungseditors wird als Name "ⅪⅳⅩⅠⅲⅠⅥⅤ℘℘ⅴⅥⅳⅭⅳⅹ" bzw. eigentlich für mich sichtbar nur lauter Kästchen angezeigt und als Typ REG_DWORD (echt seltsam, ich habe den Namen markiert, F2 gedrückt und mit STRG+C kopiert und hier eingefügt, erst hier erschien der Text...)

Welche der Programme und Tools, die ich jetzt zum Entfernen der Trojaner verwendet habe, soll ich denn aufm Rechner lassen und welche kann ich löschen? (GMER, Combofix, MBAM, Advanced System Care, Sophos Anti Rootkit, CCleaner, HJT, RSIT, Prevx)

Gibt's empfehlenswerte Programme, um sich künftig vor solcher Malware zu schützen?
Ich verwende derzeit Antivir und als Firewall Sygate Personal Firewall (und Windows Firewall, im Router ist wohl auch noch ne Firewall eingebaut, glaube ich).

Besteht Deiner Meinung nach die Gefahr, dass der infizierte PC andere Rechner über den Router angesteckt hat? Werde die angeschlossenen auf jeden Fall mal mit Virenscanner und evtl. Adaware überprüfen.
Besteht die Gefahr ggf. auch, wenn ich Dateien über einen USB-Stick mit meinem Laptop ausgetauscht habe?

Danke und Grüße!
Joe

edit:

Zitat:

Zitat von Joe007 (Beitrag 457513)

Der PC läuft soweit wieder weitgehend normal, lediglich Autostart funktioniert nicht (es kommt nicht das Auswahlfenster, wenn man bspw. eine Audio-CD einlegt) und der Antivir Guard ist beim Start nicht automatisch aktiviert (habe noch herausgefunden, wo ich das ggf. umstellen kann).

Ich meinte natürlich, ich habe noch nicht herausgefunden, wo ich das umstellen kann, aber ich werde mir eh mal die neue Basissoftware von Antivir runterladen und installieren, dann dürfte das wieder funktionieren.

Hi,

Gmer, combofix (uninstall: Start->Ausführen combofix /u), PrevX und
Sophos kannst Du deinstallieren/löschen.

RSIT und HJ stören nicht, ab- und an kann man ein Log machen und mit einem alten vergleichen.

Antivir ist gut, Sygate habe ich auf einem Rechner auch (Schade das sie nicht weiterentwickelt wird), zusätzlich empfehle ich Dir noch als behavior-Scanner ThreadFire (http://www.threatfire.com/de/), der läuft gut mit beiden zusammen (und gib es auch als kostenlose Version).

Zur Zeit gibt es einige Malware die sich über autorun auch auf USB-speichermedien (Sticks, Festplatten, Kamera, Handy etc.) fortpflanzt, daher sollte auf jeden Fall autorun ausgeschaltet bleiben (sonst startet windows automatisch mit einstecken eines infizierten Sticks die Malware und infiziert sich gleich wieder)...

Für den Router gilt: Es gibt Malware, die versucht sich über die WEB-Konfigurationsoberfläche Zugang zum Router zu verschaffen (und den dann "Umkonfiguriert"), wenn das Passwort für den Router nicht geändert wurde (dem Standardpasswort im Auslieferungszustand entspricht) oder ein zu schwaches Passwort ist (z.B. 1234). Da normalerweise dann im Router die DNS-Servereinträge verbogen werden (auf infizierte Server) können dann alle am Router hängenden Rechner verseucht werden. Über Freigaben zwischen Rechner kann auch eine direktes "überspringen" erfolgen...

Daher alle Rechner kontrollieren, Routerpasswort ändern, Autorun ausschalten...

chris

Danke soweit, Chris!

Werde dann mal die anderen Rechner noch überprüfen. Und ich schätze, es wäre mal ne externe Festplatte fällig, und dann sollte ich den PC vllt doch mal irgendwann neu aufsetzen... Mal sehen.
Danke!