Trojaner-Board - Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe (https://www.trojaner-board.de/78975-trojaner-generic14-cceb-c-winlogonss-winlogons-ms-exe.html)

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe

Hallo zusammen,

habe heute meinen USB Stick in einen anderen Rechner eingesteckt und da sagt mir das auf diesem installierte McAfee, dass sich in winlogonss\winlogons\ms.exe ein Trojaner verbirgt.

Hab dann direkt mein Netbook gecheckt und da ist dasselbe File in besagtem Ordner auf der Systempartition. Einfaches löschen der Ornder hilft nicht, erstellt sich immer wieder neu. AVG findet die Datei als Generic14.CCEB Trojaner, aber auch nach Neustart über AVG ist die Datei noch dort. Google findet zu diesem Trojaner auch nix. Auch Spybot findet nix. So wie es bis jetzt aussieht funktioniert der Unterordner winlogons auch als so ne Art Recycler. Eingefangen hab ich mir das Ding wohl vor ner Woche, zumindest besagt das das Datum des Ordners.

Auf google findet man nur eine russische Seite zu dem Thema, welche ich allerdings nicht verstehe :-) Da hier im Forum auch kein Hinweis zu finde ist, hab ich mal das logfile nach Anleitung erstellt. Hoffe ihr könnte mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:14, on 30.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\JavaJRE6U14\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - Global Startup: BTTray.lnk.disabled
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{32385EF2-8906-42DE-9030-637A2287B71D}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6980 bytes

Wenn noch mehr Infos benötigt werden, liefere ich die natürlich gern.

Grüße
Hockeygott

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

5.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hier die Filelist Ergebnisse:

Code:

----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\
 

01.11.2009  17:15                43 filelist.txt

01.11.2009  17:12            12.033 test.spr

01.11.2009  12:33     1.598.029.824 pagefile.sys

31.10.2009  17:32               211 boot.ini

31.10.2009  10:20             1.320 fpRedmon.log

28.06.2009  14:13               418 InstallHelper.log

14.06.2009  16:14            12.292 .DS_Store

06.06.2009  00:26                47 settings.dat

06.06.2009  00:21                 0 IO.SYS

06.06.2009  00:21                 0 MSDOS.SYS

06.06.2009  00:21                 0 CONFIG.SYS

06.06.2009  00:21                 0 AUTOEXEC.BAT
 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\WINDOWS
 

10.04.2010  16:24                36 oemver.txt

02.03.2010  09:12           316.640 WMSysPr9.prx

02.03.2010  09:12             4.161 ODBCINST.INI

02.03.2010  09:10               749 WindowsShell.Manifest

02.03.2010  09:10                37 vbaddin.ini

02.03.2010  09:10                36 vb.ini

02.03.2010  09:09               200 cmsetacl.log

02.03.2010  09:08                 0 Sti_Trace.log

01.11.2009  12:47         2.017.341 WindowsUpdate.log

01.11.2009  12:34                 0 0.log

01.11.2009  12:33               159 wiadebug.log

01.11.2009  12:33                50 wiaservc.log

01.11.2009  12:33             2.048 bootstat.dat

31.10.2009  20:31            32.642 SchedLgU.Txt

31.10.2009  17:32               528 win.ini

31.10.2009  17:32               227 system.ini

31.10.2009  12:04            96.905 iis6.log

31.10.2009  12:04           215.588 comsetup.log

31.10.2009  12:04             1.393 imsins.log

31.10.2009  12:04             4.255 KB958869.log

31.10.2009  12:04           128.834 ntdtcsetup.log

31.10.2009  12:04            34.015 ocmsn.log

31.10.2009  12:04           240.959 tsoc.log

31.10.2009  12:04           301.457 ocgen.log

31.10.2009  12:04            30.844 msgsocm.log

31.10.2009  12:04           611.328 FaxSetup.log

31.10.2009  12:04           995.492 setupapi.log

31.10.2009  11:57             1.393 imsins.BAK

31.10.2009  11:57            19.040 KB969059.log

31.10.2009  11:57            14.593 KB954155.log

31.10.2009  11:56            19.040 KB974112.log

31.10.2009  11:56            18.956 KB975025.log

31.10.2009  11:56            97.533 KB974455-IE7.log

31.10.2009  11:55            65.004 updspapi.log

31.10.2009  11:55            12.458 KB974571.log

31.10.2009  11:54             8.825 KB971486.log

31.10.2009  11:53             7.129 KB973525.log

31.10.2009  11:53            12.312 KB975467.log

17.10.2009  08:17           221.056 setupact.log

12.09.2009  06:56             6.715 KB968816.log

12.09.2009  06:56             6.366 KB956844.log

12.09.2009  06:56             6.684 KB971961.log

07.09.2009  20:54            19.186 KB968389.log

03.09.2009  20:11            10.112 spupdsvc.log

31.08.2009  22:35            11.915 KB960859.log

31.08.2009  22:35            12.431 KB961371-v2.log

31.08.2009  22:35            12.275 KB971657.log

31.08.2009  22:35             5.539 KB961118.log

31.08.2009  22:34            11.678 KB971557.log

31.08.2009  22:34             7.718 KB956744.log

31.08.2009  22:34             7.329 KB973869.log

31.08.2009  22:34            12.270 KB973507.log

31.08.2009  22:34             6.924 KB973354.log

31.08.2009  22:34             7.421 KB973540.log

31.08.2009  22:34            17.281 wmsetup.log

31.08.2009  22:32            11.423 KB973815.log

31.08.2009  22:31             3.804 KB970653-v3.log

11.08.2009  15:42            23.098 KB960715.log

11.08.2009  14:58            36.608 KB959426.log

11.08.2009  14:58            35.391 KB960225.log

11.08.2009  14:41            27.532 KB956572.log

11.08.2009  14:40            26.620 KB961501.log

11.08.2009  14:40            26.115 KB971633.log

11.08.2009  14:40            27.546 KB952004.log

11.08.2009  14:39           103.290 KB972260-IE7.log

11.08.2009  14:39            16.578 KB941569.log

11.08.2009  14:38            18.017 KB967715.log

11.08.2009  14:38             1.847 ie8_main.log

11.08.2009  14:31             9.412 KB959772.log

11.08.2009  14:31            53.161 KB952069.log

11.08.2009  14:30            16.934 KB970238.log

11.08.2009  14:30            16.417 KB960803.log

11.08.2009  14:27            15.734 KB968537.log

11.08.2009  14:27           308.780 msxml4-KB954430-enu.LOG

11.08.2009  14:27            10.837 KB923561.log

11.08.2009  14:04             8.383 KB898461.log

06.06.2009  00:21                 0 setuperr.log

06.06.2009  00:21                 0 control.ini

05.06.2009  22:41             1.864 OEWABLog.txt

05.06.2009  22:40           945.255 setuplog.txt

05.06.2009  22:38             3.941 sessmgr.setup.log

05.06.2009  22:38               626 DtcInstall.log

05.06.2009  22:36             2.750 regopt.log

05.06.2009  20:06                 0 nsreg.dat
 

----- System  --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\WINDOWS\system
 

14.04.2008  13:00            70.368 AVICAP.DLL

14.04.2008  13:00           109.504 AVIFILE.DLL
 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\WINDOWS\system32
 

10.04.2010  16:32               333 $ncsp$.inf

02.03.2010  09:12             2.951 CONFIG.NT

02.03.2010  09:10               488 WindowsLogon.manifest

02.03.2010  09:10               488 logonui.exe.manifest

02.03.2010  09:10               749 ncpa.cpl.manifest

02.03.2010  09:10               749 wuaucpl.cpl.manifest

02.03.2010  09:10               749 sapi.cpl.manifest

02.03.2010  09:10               749 nwc.cpl.manifest

02.03.2010  09:10               749 cdplayer.exe.manifest

02.03.2010  09:10            21.740 emptyregdb.dat

02.03.2010  09:08                 0 h323log.txt

01.11.2009  12:55           358.382 vsconfig.xml

31.10.2009  12:07           441.772 perfh009.dat

31.10.2009  12:07            71.708 perfc009.dat

31.10.2009  12:07           459.728 perfh007.dat

31.10.2009  12:07            85.070 perfc007.dat

31.10.2009  12:07         1.027.202 PerfStringBackup.INI

30.10.2009  10:57             1.158 wpa.dbl

02.10.2009  19:01        25.198.016 MRT.exe

13.09.2009  07:28            11.952 avgrsstx.dll

11.09.2009  15:17           136.192 msv1_0.dll

04.09.2009  22:03            58.880 msasn1.dll

01.09.2009  15:46           282.654 msaud32.acm

31.08.2009  22:31           588.430 TZLog.log

29.08.2009  08:24           233.472 webcheck.dll

29.08.2009  08:24           832.512 wininet.dll

29.08.2009  08:24            44.544 pngfilt.dll

29.08.2009  08:24           105.984 url.dll

29.08.2009  08:24           671.232 mstime.dll

29.08.2009  08:24         1.168.384 urlmon.dll

29.08.2009  08:24           102.912 occache.dll

29.08.2009  08:24         3.598.336 mshtml.dll

29.08.2009  08:24           193.024 msrating.dll

29.08.2009  08:24           477.696 mshtmled.dll

29.08.2009  08:24           459.264 msfeeds.dll

29.08.2009  08:24            52.224 msfeedsbs.dll

29.08.2009  08:24            27.648 jsproxy.dll

29.08.2009  08:24         1.830.912 inetcpl.cpl

29.08.2009  08:24           268.288 iertutil.dll

29.08.2009  08:24         6.067.200 ieframe.dll

29.08.2009  08:24            44.544 iernonce.dll

29.08.2009  08:24           385.024 iedkcs32.dll

29.08.2009  08:24            78.336 ieencode.dll

29.08.2009  08:24           230.400 ieaksie.dll

29.08.2009  08:24           380.928 ieapfltr.dll

29.08.2009  08:24           153.088 ieakeng.dll

29.08.2009  08:24            63.488 icardie.dll

29.08.2009  08:24           133.120 extmgr.dll

29.08.2009  08:24           347.136 dxtmsft.dll

29.08.2009  08:24           124.928 advpack.dll

29.08.2009  08:24            17.408 corpol.dll

29.08.2009  08:24           214.528 dxtrans.dll

28.08.2009  11:28           389.120 html.iec

28.08.2009  11:28            13.824 ieudinit.exe

28.08.2009  11:28            70.656 ie4uinit.exe

27.08.2009  06:18           161.792 ieakui.dll

26.08.2009  09:00           247.326 strmdll.dll

13.08.2009  16:15           512.000 jscript.dll

11.08.2009  15:04           274.968 FNTCACHE.DAT

05.08.2009  09:59           206.336 mswebdvd.dll

04.08.2009  18:26         2.147.840 ntoskrnl.exe

04.08.2009  18:25         2.026.496 ntkrnlpa.exe

29.07.2009  05:34           119.808 t2embed.dll

29.07.2009  05:34            81.920 fontsub.dll

17.07.2009  20:01            58.880 atl.dll

17.07.2009  17:15         1.441.792 query.dll

14.07.2009  12:03            46.080 tzchange.exe

13.07.2009  22:43        10.841.088 wmp.dll

13.07.2009  22:43           286.208 wmpdxm.dll

13.07.2009  19:11           148.888 javaws.exe

13.07.2009  19:11           144.792 javaw.exe

13.07.2009  19:11           144.792 java.exe

13.07.2009  19:11            73.728 javacpl.cpl

13.07.2009  19:11           410.984 deploytk.dll

29.06.2009  09:33         2.452.872 ieapfltr.dat

25.06.2009  09:25           147.456 schannel.dll

25.06.2009  09:25            54.272 wdigest.dll

25.06.2009  09:25            56.832 secur32.dll

25.06.2009  09:25           301.568 kerberos.dll

25.06.2009  09:25           737.792 lsasrv.dll

18.06.2009  11:16         1.044.480 roboex32.dll

18.06.2009  11:16            49.152 inetwh32.dll

15.06.2009  11:43            78.848 telnet.exe

13.06.2009  15:40            24.064 ctfmon.exe

10.06.2009  15:13            85.504 avifil32.dll

10.06.2009  08:19         2.066.432 mstscax.dll

10.06.2009  07:14           132.096 wkssvc.dll

05.06.2009  22:40                68 $winnt$.inf

05.06.2009  22:37             5.208 pid.PNF

05.06.2009  22:35                27 DetectDevice.txt

05.06.2009  21:49             4.212 zllictbl.dat

03.06.2009  20:09         1.296.896 quartz.dll
 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

10.04.2010  16:32            16.394 CMD.EXE-087B4001.pf

10.04.2010  16:31            14.468 VERCLSID.EXE-3667BD89.pf

10.04.2010  16:29            40.126 WMIPRVSE.EXE-28F301A9.pf

10.04.2010  16:28            12.556 REGEDIT.EXE-1B606482.pf

10.04.2010  16:26         1.125.082 NTOSBOOT-B00DFAAD.pf

01.11.2009  17:14            14.490 7ZG.EXE-189F3F41.pf

01.11.2009  17:00            18.222 TASKMGR.EXE-20256C55.pf

01.11.2009  16:59            37.756 BTSTAC~1.EXE-2BF86A68.pf

01.11.2009  16:59             2.648 CTFMON.EXE-0E17969B.pf

01.11.2009  16:56            29.604 AVGCMGR.EXE-1683B2E1.pf

01.11.2009  16:31            71.368 FIREFOX.EXE-1D57670A.pf

01.11.2009  16:29            40.694 AVGSRMAX.EXE-2F474AD3.pf

01.11.2009  16:29           109.658 THUNDERBIRD.EXE-031A6371.pf

01.11.2009  16:20            37.944 LOGONUI.EXE-0AF22957.pf

01.11.2009  14:23            26.282 RUNDLL32.EXE-191D429D.pf

01.11.2009  14:21            69.762 ACRORD32INFO.EXE-19D979CC.pf

01.11.2009  14:06            31.554 MYPHONEEXPLORER.EXE-05E402FD.pf

01.11.2009  13:16            61.654 JAVAW.EXE-1DA9F6E6.pf

01.11.2009  13:06            62.356 AVGCSRVX.EXE-06E50003.pf

01.11.2009  13:05            12.044 RUNDLL32.EXE-451FC2C0.pf

01.11.2009  13:04            29.938 RUNDLL32.EXE-21940F6B.pf

01.11.2009  13:04            70.252 AVGUI.EXE-17FEF51D.pf

01.11.2009  12:53            30.864 VSMON.EXE-1609C098.pf

01.11.2009  12:52            44.562 ZLCLIENT.EXE-0120F620.pf

01.11.2009  12:52            48.264 AVGSCANX.EXE-1699F935.pf

01.11.2009  12:48            23.994 WUAUCLT.EXE-399A8E72.pf

01.11.2009  12:47            10.712 IGFXEXT.EXE-20973E2B.pf

01.11.2009  12:47            12.714 FPASSIST.EXE-18368AA2.pf

01.11.2009  12:47            16.268 ETDCTRL.EXE-2F05E7A1.pf

01.11.2009  12:47            18.054 ASACPISVR.EXE-0D73EB00.pf

01.11.2009  12:47            11.658 IGFXSRVC.EXE-2FB63FE8.pf

01.11.2009  12:47             7.202 ASEPCMON.EXE-228FA442.pf

01.11.2009  12:47            30.536 AVGTRAY.EXE-17920267.pf

01.11.2009  12:47            15.116 HKCMD.EXE-1D05234B.pf

01.11.2009  12:47            21.626 USERINIT.EXE-30B18140.pf

01.11.2009  12:47            70.604 EXPLORER.EXE-082F38A9.pf

01.11.2009  12:38            20.592 FIXCFG.EXE-14769470.pf

31.10.2009  20:26           117.986 VLC.EXE-29851A71.pf

31.10.2009  19:33            24.826 WORDPAD.EXE-1EFCC5C1.pf

31.10.2009  19:33            13.316 RUNDLL32.EXE-4B233CFC.pf

31.10.2009  19:25            17.042 NOTEPAD.EXE-336351A9.pf

31.10.2009  19:24            17.246 RUNDLL32.EXE-137EF9D9.pf

31.10.2009  19:23            53.870 WLXQUICKTIMECONTROLHOST.EXE-052CA298.pf

31.10.2009  19:13            11.542 CACLS.EXE-25504E4A.pf

31.10.2009  19:03           387.734 Layout.ini

31.10.2009  18:54             6.878 LOGON.SCR-151EFAEA.pf

31.10.2009  18:40            44.856 AVGUPD.EXE-3670E4F0.pf

31.10.2009  18:36            40.544 ADOBEUPDATER.EXE-370FC314.pf

31.10.2009  18:35            62.994 ACRORD32.EXE-153330F0.pf

31.10.2009  18:12            32.120 WLTUSER.EXE-231BB668.pf

31.10.2009  18:12            29.048 RUNDLL32.EXE-200B002C.pf

31.10.2009  18:12            61.790 IEXPLORE.EXE-2CA9778D.pf

31.10.2009  18:06           156.180 EXCEL.EXE-3AB61D88.pf

31.10.2009  17:53            32.700 UPDCLIENT.EXE-215FC96B.pf

31.10.2009  17:50            29.608 RUNDLL32.EXE-1BE5E77D.pf

31.10.2009  17:35            11.034 WSCNTFY.EXE-1B24F5EB.pf

31.10.2009  17:31            29.044 MSCONFIG.EXE-35E4DAE9.pf

31.10.2009  14:49            29.674 HH.EXE-2D1A70B3.pf

31.10.2009  14:27            68.198 SPYBOTSD.EXE-22C71193.pf

31.10.2009  14:26            30.002 SDUPDATE.EXE-16E259FD.pf

31.10.2009  14:25            17.050 AVGRSX.EXE-3282C2D5.pf

31.10.2009  14:24            35.680 AVGNSX.EXE-3B2A5A79.pf

31.10.2009  14:22            21.884 RSTRUI.EXE-03C49A96.pf

31.10.2009  14:11            16.408 ROOTREPEAL.EXE-371B100D.pf

31.10.2009  14:10            29.328 RUNDLL32.EXE-34A49E58.pf

31.10.2009  14:10            15.494 SVCHOST.EXE-3530F672.pf

31.10.2009  14:09            26.276 DWWIN.EXE-30875ADC.pf

31.10.2009  14:09            14.410 SUPERHYBRIDENGINE.EXE-1BCA7115.pf

31.10.2009  14:09            16.704 DUMPREP.EXE-1B46F901.pf

31.10.2009  14:09            12.434 BLINDMAN.EXE-0F7EAAFA.pf

31.10.2009  12:41           136.434 MSCORSVW.EXE-1BF30400.pf

31.10.2009  12:14            49.962 U8IP78SX.EXE-13A2D6F2.pf

31.10.2009  12:08            20.274 LODCTR.EXE-1009C3B4.pf

31.10.2009  12:07            10.332 NGEN.EXE-38021CCC.pf

31.10.2009  12:07            34.562 REGSVCS.EXE-11A17120.pf

31.10.2009  12:07            34.740 ASPNET_REGIIS.EXE-009D6E80.pf

31.10.2009  12:07            21.972 MOFCOMP.EXE-01718E95.pf

31.10.2009  12:06           136.900 MSIEXEC.EXE-2F8A8CAE.pf

31.10.2009  12:06            10.380 REGTLIBV12.EXE-0E2FA54B.pf

31.10.2009  12:04            18.534 HOTFIXINSTALLER.EXE-065E7117.pf

31.10.2009  12:04            54.456 NDP20SP2-KB974417-X86.EXE-002420EA.pf

31.10.2009  12:03            67.992 UPDATE.EXE-15C6200D.pf

31.10.2009  11:57            53.970 MRT.EXE-1B4A8D49.pf

31.10.2009  11:57            21.962 WINDOWS-KB890830-V3.0-DELTA.E-1CF06118.pf

31.10.2009  11:57            51.198 MRTSTUB.EXE-374931FC.pf

31.10.2009  11:57            69.266 UPDATE.EXE-350FCF0A.pf

31.10.2009  11:56            37.394 UPDATE.EXE-2BCA4E46.pf

31.10.2009  11:56            69.218 UPDATE.EXE-09DAC4F8.pf

31.10.2009  11:56            67.604 UPDATE.EXE-170B00D3.pf

31.10.2009  11:56           188.694 NGEN.EXE-171CDCC6.pf

31.10.2009  11:55            69.274 UPDATE.EXE-323427FD.pf

31.10.2009  11:55            67.846 UPDATE.EXE-2CF99B93.pf

31.10.2009  11:55             7.266 NETFXUPDATE.EXE-1BB060FE.pf

31.10.2009  11:54            23.810 GACUTIL.EXE-2736E6B3.pf

31.10.2009  11:54            54.646 NDP1.1SP1-KB953297-X86.EXE-33E8E47A.pf

31.10.2009  11:53            68.924 UPDATE.EXE-065C6B0A.pf

31.10.2009  11:53            71.942 UPDATE.EXE-1AEA4BE4.pf

31.10.2009  11:53            85.386 UPDATE.EXE-23A13842.pf

31.10.2009  11:42            15.990 RUNDLL32.EXE-4C4CDC7B.pf

31.10.2009  11:01            15.996 FREEPDF.EXE-054FA9B2.pf

31.10.2009  11:01            22.238 GSWIN32C.EXE-0AD3A65B.pf

31.10.2009  10:35            67.686 DFRGNTFS.EXE-269967DF.pf

31.10.2009  10:35            15.796 DEFRAG.EXE-273F131E.pf

31.10.2009  10:20             5.204 REDRUN.EXE-0746FC9C.pf

31.10.2009  10:20            11.428 FPREDMON.EXE-04FE2A32.pf

31.10.2009  10:08            16.010 RUNDLL32.EXE-3612C417.pf

31.10.2009  09:47            29.830 RUNDLL32.EXE-27DA251A.pf

30.10.2009  20:04            17.928 RUNDLL32.EXE-27A05B02.pf

30.10.2009  19:38            57.816 CLVIEW.EXE-10223D38.pf

30.10.2009  19:25            16.194 RUNDLL32.EXE-21440FB0.pf

30.10.2009  19:24            15.872 RUNDLL32.EXE-350C4D26.pf

30.10.2009  19:24            15.872 RUNDLL32.EXE-169D9D8B.pf

30.10.2009  19:23            15.872 RUNDLL32.EXE-3A82FE4C.pf

30.10.2009  19:23            16.498 RUNDLL32.EXE-17B0F912.pf

30.10.2009  19:20            17.086 RUNDLL32.EXE-2AC45638.pf

30.10.2009  19:11            50.620 RUNDLL32.EXE-3FD54799.pf

30.10.2009  19:06            16.888 HIJACKTHIS.EXE-1CB4CC24.pf

30.10.2009  19:05             1.914 RUNDLL32.EXE-13404D23.pf

30.10.2009  18:47            40.506 AVGWDSVC.EXE-1AC4BEE6.pf

30.10.2009  18:40            32.690 RUNDLL32.EXE-2E19E715.pf

30.10.2009  18:28            74.802 UPDATE.EXE-08894AB6.pf

30.10.2009  18:28            77.958 UPDATE.EXE-2B7510D6.pf

30.10.2009  18:27            80.148 UPDATE.EXE-28B39077.pf

30.10.2009  18:27            86.374 UPDATE.EXE-0ACF221C.pf

30.10.2009  18:23            74.884 UPDATE.EXE-0A4EEBF9.pf

30.10.2009  18:20            82.810 UPDATE.EXE-00C03C08.pf

30.10.2009  17:57            17.302 HJTINSTALL202.EXE-2FA77DBF.pf

30.10.2009  17:04            10.682 MS.EXE-35143963.pf

30.10.2009  16:14             4.070 I4JDEL0.EXE-359FAF3E.pf

30.10.2009  16:07            66.070 AZUREUS.EXE-180111A2.pf

             130 Datei(en)      6.527.490 Bytes

               0 Verzeichnis(se), 58.922.733.568 Bytes frei

 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\WINDOWS\tasks
 

01.11.2009  12:33                 6 SA.DAT

14.04.2008  13:00                65 desktop.ini

               2 Datei(en)             71 Bytes

               0 Verzeichnis(se), 58.922.737.664 Bytes frei

 

----- Windows/Temp ----------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\WINDOWS\Temp
 

01.11.2009  12:54               256 ZLT01784.TMP

01.11.2009  12:54               256 ZLT0177e.TMP

31.10.2009  18:40                66 avg8info.id

31.10.2009  11:58             8.730 NetFxUpdate_v1.1.4322.log

31.10.2009  10:20               442 fpRedmon.log

31.10.2009  09:50               256 ZLT03cb2.TMP

31.10.2009  09:49               256 ZLT03c74.TMP

30.10.2009  18:40               256 ZLT00408.TMP

30.10.2009  18:40               256 ZLT00404.TMP

               9 Datei(en)         10.774 Bytes

               0 Verzeichnis(se), 58.922.733.568 Bytes frei

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64D0-A91B
 

 Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp
 

01.11.2009  16:31                 0 etilqs_YPkS9EJEYsgP8aAyTneN

01.11.2009  12:47            16.384 ~DFE7C3.tmp

31.10.2009  12:08           505.402 Microsoft .NET Framework 2.0-KB974417_20091031_110415656.html

31.10.2009  12:08         9.936.852 Microsoft .NET Framework 2.0-KB974417_20091031_110415656-Msi0.txt

31.10.2009  12:07             5.158 ASPNETSetup_00000.log

31.10.2009  11:57           524.288 TMP00000001E64F4602C3EDB0F1

31.10.2009  11:57         5.492.032 mpengine.dll

31.10.2009  11:55             1.547 NetFxUpdate_v1.1.4322.log

30.10.2009  16:14             4.608 i4jdel0.exe

30.10.2009  16:07            77.824 swt-gdip-win32-3448.dll

30.10.2009  16:07           335.872 swt-win32-3448.dll

18.10.2009  01:48           939.833 IAC-09.A5.2.-B3.6.5.pdf

18.10.2009  01:48           505.963 IAC-09.A5.2.-B3.6.3.pdf

18.10.2009  01:48         3.142.100 IAC-09.A3.6.4.pdf

18.10.2009  01:48         1.231.119 IAC-09.A3.6.8.pdf

18.10.2009  01:47           110.340 IAC-09.A3.6.2.pdf

18.10.2009  01:47           401.715 IAC-09.A3.6.1.pdf

18.10.2009  01:47         4.269.376 IAC-09.A3.5.8.pdf

18.10.2009  01:47           743.873 IAC-09.A3.5.9.pdf

18.10.2009  01:46         1.259.886 IAC-09.A3.5.4.pdf

18.10.2009  01:46           875.103 IAC-09.A3.5.3.show.pdf

18.10.2009  01:46           853.347 IAC-09.A3.5.2.pdf

18.10.2009  01:46           173.349 IAC-09.A3.5.1.pdf

18.10.2009  01:43           777.499 IAC-09.C4.8.5.pdf

18.10.2009  01:42           912.552 IAC-09.C1.10.8.pdf

18.10.2009  01:42           729.590 IAC-09.C1.10.4.pdf

18.10.2009  01:41            81.491 IAC-09.B6.2.6.pdf

18.10.2009  01:41           169.894 IAC-09.B2.5.5.pdf

18.10.2009  01:41           254.431 IAC-09.B2.5.4.pdf

18.10.2009  01:40         2.321.812 IAC-09.A3.I.10.pdf

18.10.2009  01:40           831.227 IAC-09.A3.I.8.pdf

18.10.2009  01:40           657.390 IAC-09.A3.I.6.pdf

18.10.2009  01:39           350.383 IAC-09.A3.I.2.pdf

18.10.2009  01:39           178.004 IAC-09.A3.2INT.5.pdf

18.10.2009  01:39            26.187 IAC-09.A3.2INT.1.pdf

18.10.2009  01:00           627.764 IAC-09.D3.3.5.show.pdf

18.10.2009  00:59         1.186.232 IAC-09.D3.3.1.pdf

18.10.2009  00:59            51.468 IAC-09.D3.3.3.pdf

18.10.2009  00:59           317.517 IAC-09.D2.5.8.pdf

18.10.2009  00:59           474.601 IAC-09.C4.7.-C3.5.1.pdf

18.10.2009  00:59         1.924.270 IAC-09.C4.7.-C3.5.4.pdf

18.10.2009  00:58           207.412 IAC-09.C4.7.-C3.5.2.pdf

18.10.2009  00:58           369.238 IAC-09.C1.6.2.pdf

18.10.2009  00:57           307.978 IAC-09.B5.2.4.pdf

18.10.2009  00:57           444.934 IAC-09.B4.6A.3.pdf

18.10.2009  00:56         1.117.775 IAC-09.B2.4.3.pdf

18.10.2009  00:55           232.733 IAC-09.C1.5.11.pdf

18.10.2009  00:55         3.526.406 IAC-09.C1.5.7.pdf

18.10.2009  00:55           174.057 IAC-09.C1.5.8.pdf

18.10.2009  00:55         1.147.998 IAC-09.C1.5.5.pdf

18.10.2009  00:54           716.860 IAC-09.C1.5.2.pdf

17.10.2009  09:27           345.362 IAC-09.B3.3.8.pdf

17.10.2009  09:27         1.364.927 IAC-09.B3.3.6.pdf

28.10.2006  00:14           145.184 ose00000.exe

              54 Datei(en)     53.379.147 Bytes

               0 Verzeichnis(se), 58.922.733.568 Bytes frei

Dann gibts dazu die installierten Programme aus dem CCleaner:

Code:

7-Zip 4.65

Adobe Flash Player 10 Plugin

Adobe Flash Player ActiveX

Adobe Reader 8.1.0 - Deutsch

Asus ACPI Driver

ASUSUpdate for Eee PC

Atheros Client Installation Program

Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver

AVG Free 8.5

Azurewave Wireless LAN

Canon CanoScan Toolbox 4.1

CCleaner (remove only)

Cortona3D Viewer

DAEMON Tools Toolbar

Eee Instant Key

Eee Storage

ETDWare PS/2-x86 7.0.4.3 WHQL

FreePDF (Remove only)

GPL Ghostscript 8.70

Idoswin Free 3.6

Intel(R) Debugger 9.1

Intel(R) Graphics Media Accelerator Driver

Intel(R) Visual Fortran Compiler 9.1

Intel(R) Visual Fortran Compiler 9.1 Integrations in Microsoft Visual Studio*

Java(TM) 6 Update 14

MATLAB R2007b

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 German Language Pack

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office Enterprise 2007

Microsoft Office Language Pack 2007 - German/Deutsch

Microsoft Office Project Language Pack 2007 - German/Deutsch

Microsoft Office Project Professional 2007

Microsoft SQL Server 2005 Compact Edition [ENU]

Microsoft Sync Framework Runtime Native v1.0 (x86)

Microsoft Sync Framework Services Native v1.0 (x86)

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual J# .NET Redistributable Package 1.1

Microsoft Visual Studio .NET Professional 2003 - Deutsch

MiKTeX 2.7

Mozilla Firefox (3.5.2)

Mozilla Thunderbird (2.0.0.23)

MSDN Library für Visual Studio .NET 2003 - Deutsch

MSXML 4.0 SP2 (KB954430)

MyPhoneExplorer

Realtek High Definition Audio Driver

RedMon - Redirection Port Monitor

Rosetta Stone Version 3

Schneller lesen - mehr behalten, Standard

Skype™ 3.6

Spybot - Search & Destroy

Super Hybrid Engine

TeXnicCenter Version 1.0 Stable RC1

Turbo Lister 2

USB 2.0 1.3M UVC WebCam

Visual J# .NET Redistributable 1.1- German Language Pack

VLC media player 0.9.9

Vuze

WIDCOMM Bluetooth Software

Windows Internet Explorer 7

Windows Live Anmelde-Assistent

Windows Live Essentials

Windows Live Sync

Windows Live-Uploadtool

Windows Media Format 11 runtime

Windows Media Player 11

WinMerge 2.12.4

Zattoo 3.3.4 Beta

ZoneAlarm

Hier dann jetzt auch das Gmer File:

Code:

GMER 1.0.15.15163 - http://www.gmer.net

Rootkit scan 2009-11-01 22:24:45

Windows 5.1.2600 Service Pack 3

Running: ebqpzzl7.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\fxtdypow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwConnectPort [0xA2839040]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateFile [0xA2835930]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateKey [0xA2840A80]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreatePort [0xA2839510]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateProcess [0xA283F870]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateProcessEx [0xA283FAA0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateSection [0xA2842FD0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateWaitablePort [0xA2839600]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDeleteFile [0xA2835F20]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDeleteKey [0xA28416E0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDeleteValueKey [0xA2841440]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDuplicateObject [0xA283F580]

SSDT            spdi.sys                                                                                                            ZwEnumerateKey [0xB9EC5CA4]

SSDT            spdi.sys                                                                                                            ZwEnumerateValueKey [0xB9EC6032]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwLoadKey [0xA28418B0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwOpenFile [0xA2835D70]

SSDT            spdi.sys                                                                                                            ZwOpenKey [0xB9EA70C0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwOpenProcess [0xA283F350]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwOpenThread [0xA283F150]

SSDT            spdi.sys                                                                                                            ZwQueryKey [0xB9EC610A]

SSDT            spdi.sys                                                                                                            ZwQueryValueKey [0xB9EC5F8A]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwRenameKey [0xA2842250]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwReplaceKey [0xA2841CB0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwRequestWaitReplyPort [0xA2838C00]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwRestoreKey [0xA2842080]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwSecureConnectPort [0xA2839220]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwSetInformationFile [0xA2836120]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwSetValueKey [0xA2841140]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwTerminateProcess [0xA283FCD0]
 

INT 0x62        ?                                                                                                                   8A406BF8

INT 0x63        ?                                                                                                                   898C4BF8

INT 0x83        ?                                                                                                                   8A397BF8

INT 0xA4        ?                                                                                                                   898C4BF8

INT 0xB4        ?                                                                                                                   898C4BF8
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                                80504518 12 Bytes  [10, 95, 83, A2, 70, F8, 83, ...]

?               spdi.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !

?               srescan.sys                                                                                                         Das System kann die angegebene Datei nicht finden. !

.text           USBPORT.SYS!DllUnload                                                                                               B86118AC 5 Bytes  JMP 898C41D8 

.text           af72u7au.SYS                                                                                                        B30F2386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]

.text           af72u7au.SYS                                                                                                        B30F23AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]

.text           af72u7au.SYS                                                                                                        B30F23C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}

.text           af72u7au.SYS                                                                                                        B30F23C9 1 Byte  [30]

.text           af72u7au.SYS                                                                                                        B30F23C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}

.text           ...                                                                                                                 
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [B9EA8042] spdi.sys

IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [B9EA813E] spdi.sys

IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [B9EA80C0] spdi.sys

IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [B9EA8800] spdi.sys

IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [B9EA86D6] spdi.sys

IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [B9EB7E9C] spdi.sys

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C8D9E88

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KeGetCurrentIrql]                                                 9E880000

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfRaiseIrql]                                                      00001CA9

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfLowerIrql]                                                      0E798366

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!HalTranslateBusAddress]                                           8186C636

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8386C6

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!READ_PORT_USHORT]                                                 001C8E86

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                         86C60200

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                 00001CAA

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C

IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB19E

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                            [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                 [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                              [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                   [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                  [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                             [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                           [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                 [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                  [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                   [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                               [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                   [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                             [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                 [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                  [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                              8A3961F8

Device          \Driver\Tcpip \Device\Ip                                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\usbehci \Device\USBPDO-0                                                                                    898951F8

Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    898C21F8

Device          \Driver\sptd \Device\311011836                                                                                      spdi.sys

Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    898C21F8

Device          \Driver\PCI_PNP0586 \Device\00000046                                                                                spdi.sys

Device          \Driver\usbuhci \Device\USBPDO-3                                                                                    898C21F8

Device          \Driver\usbuhci \Device\USBPDO-4                                                                                    898C21F8

Device          \Driver\Tcpip \Device\Tcp                                                                                           vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
 

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              8A3981F8

Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              8A3981F8

Device          \Driver\Cdrom \Device\CdRom0                                                                                        896BB500

Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                  [B9D86720] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [B9E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                       [B9D86720] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                              8A3981F8

Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                              8A3981F8

Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                             896D2500

Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    896D2500

Device          \Driver\Tcpip \Device\Udp                                                                                           vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
 

Device          \Driver\Tcpip \Device\RawIp                                                                                         vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
 

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    898C21F8

Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    898C21F8

Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   896F2500

Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    898C21F8

Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         896F2500

Device          \Driver\usbuhci \Device\USBFDO-3                                                                                    898C21F8

Device          \Driver\usbehci \Device\USBFDO-4                                                                                    898951F8

Device          \Driver\Ftdisk \Device\FtControl                                                                                    8A3981F8

Device          \Driver\af72u7au \Device\Scsi\af72u7au1                                                                             897D6500

Device          \Driver\af72u7au \Device\Scsi\af72u7au1Port2Path0Target0Lun0                                                        897D6500

Device          \FileSystem\Fastfat \Fat                                                                                            8982A500

Device          \FileSystem\Fastfat \Fat                                                                                            A08ED297
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \FileSystem\Cdfs \Cdfs                                                                                              897D7500
 
 
 

---- EOF - GMER 1.0.15 ----

Und hier der Rest vom Gmer:

Code:

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Programme\DAEMON Tools Lite\

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x10 0xD0 0xA9 0x98 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x5F 0xFE 0xB3 0xDB ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x8B 0x73 0x90 0x3E ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x10 0xD0 0xA9 0x98 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x5F 0xFE 0xB3 0xDB ...

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  

Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x8B 0x73 0x90 0x3E ...

hi

1.

Code:

Vuze

Zitat:

Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!

Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Kaspersky findet beim scannen nichts. Hier der Report:

Code:

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

 Monday, November 2, 2009

 Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

 Kaspersky Online Scanner version: 7.0.26.13

 Last database update: Sunday, November 01, 2009 20:11:50

 Records in database: 3112596

--------------------------------------------------------------------------------
 

Scan settings:

        scan using the following database: extended

        Scan archives: yes

        Scan e-mail databases: yes
 

Scan area - My Computer:

        C:\

        D:\

        E:\
 

Scan statistics:

        Objects scanned: 139984

        Threats found: 0

        Infected objects found: 0

        Suspicious objects found: 0

        Scan duration: 03:53:27
 

No threats found. Scanned area is clean.
 

Selected area has been scanned.

Punkt 2. - mit Malwarebytes bitte weiter-> http://www.trojaner-board.de/78975-t...tml#post477716

Hier der Malware Report:
Findet zwar was, aber das ist schon merkwürdig. Antivirenschutz nicht wieder aktiv. Hatte das eigentlich wieder angestellt. Fragt sich warum der Residenter vom AVG nicht wieder angesprungen ist. Entfernt und Neugestartet. Jetzt noch der neue Hijackthis Report.

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3081

Windows 5.1.2600 Service Pack 3
 

02.11.2009 19:46:24

mbam-log-2009-11-02 (19-46-14).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 249323

Laufzeit: 1 hour(s), 5 minute(s), 1 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

So, das Hijackthislog:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:02:31, on 02.11.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16915)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Programme\Elantech\ETDCtrl.exe

C:\Programme\EeePC\ACPI\AsAcpiSvr.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programme\EeePC\ACPI\AsEPCMon.exe

C:\WINDOWS\system32\igfxext.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\JavaJRE6U14\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe

O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe

O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes-Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: BTTray.lnk.disabled

O4 - Global Startup: SuperHybridEngine.lnk = ?

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{32385EF2-8906-42DE-9030-637A2287B71D}: NameServer = 213.191.74.19 62.109.123.197

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6973 bytes

Ich denke auch, dass ich den Trojaner von Vuze habe. Die Frage ist nur, krieg ich den wieder weg? Nachdem ich versuchte den manuell zu löschen, hat sich das Verzeichnis halt immer wieder selbst erstellt.
Nachdem ich ihn von AVG in die Quarantäne verschoben lassen hab, konnte ich das Verzeichnis löschen und anschließend den Virus, ohne das er sich wieder selbst erstellt hat. Allerdings wurde er nach dem nächsten Boot im System Volume Verzeichnis, in einer anderen .exe wieder entdeckt. Den hab ich jetzt einfach nur in die Quarantäne geschoben, ohne ihn zu entfernen.

Da frag ich mich jetzt halt:
1) War der nur per Systemwiederherstellungspunkt im System Volume Information Ordner? Warum wurde der dann vorher nicht dort gefunden
2) Kann der Virus noch Schaden anrichten, wenn er sich in der Quarantäne befindet? Oder kann ich den da lassen und alles ist gut. Weil er bisher ja nicht wieder gefunden wurde.
3) Löschen und nochmal schauen ob er wieder woanders auftaucht? Bisher hat ihn der AVG Residenter immer gefunden.

Danke schon mal für die Hilfe bisher.
Grüße
hockeygott

hi

aus der Quarantäne kann kein Schade mehr einrichten

1.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

2.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Hier das Logfile vom Combofix. Dort taucht auch unter "Andere Dienste/Treiber im Speicher" besagte ms.exe auf.

Code:

ComboFix 09-11-04.02 - Admin 04.11.2009 21:22.1.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.1548 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\recycler\S-1-5-21-1069355093-3870042189-2135761732-1003

G:\Autorun.inf
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-10-04 bis 2009-11-04  ))))))))))))))))))))))))))))))

.
 

2010-04-10 15:21 . 2008-08-26 08:02        1580        ----a-w-        c:\windows\Uninstsxga.bat

2010-04-10 15:21 . 2008-08-11 08:14        1752704        ----a-w-        c:\windows\system32\drivers\snp2uvc.sys

2010-04-10 15:21 . 2008-06-25 17:38        2052        ----a-w-        c:\windows\Uninstvga.bat

2010-04-10 15:21 . 2008-06-25 17:00        1682        ----a-w-        c:\windows\Uninstuxga.bat

2010-04-10 15:21 . 2008-05-22 07:52        294912        ----a-w-        c:\windows\system32\vsnp2uvc.dll

2010-04-10 15:21 . 2008-05-12 09:20        28672        ----a-w-        c:\windows\system32\drivers\sncduvc.sys

2010-04-10 15:21 . 2008-03-21 19:44        384        ----a-w-        c:\windows\Uninstvga.reg

2010-04-10 15:21 . 2008-03-21 19:44        386        ----a-w-        c:\windows\Uninstsxga.reg

2010-04-10 15:21 . 2008-03-21 19:38        386        ----a-w-        c:\windows\Uninstuxga.reg

2010-04-10 15:21 . 2006-11-23 20:20        11776        ----a-w-        c:\windows\DrvInst.exe

2010-04-10 15:20 . 2010-04-10 15:20        --------        d-----w-        c:\programme\Gemeinsame Dateien\SNP2UVC
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-10 15:23 . 2009-03-02 08:46        --------        d-----w-        c:\programme\ASUS

2010-04-10 12:51 . 2010-03-02 08:11        76487        ----a-w-        c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-03-02 08:12 . 2010-03-02 08:12        --------        d-----w-        c:\programme\microsoft frontpage

2010-03-02 08:10 . 2010-03-02 08:10        --------        d-----w-        c:\programme\Online-Dienste

2010-03-02 08:10 . 2010-03-02 08:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Dienste

2010-03-02 08:10 . 2010-03-02 08:10        21740        ----a-w-        c:\windows\system32\emptyregdb.dat

2009-11-04 19:57 . 2009-06-05 22:49        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype

2009-11-04 19:55 . 2009-06-05 20:51        126728        --sha-w-        c:\windows\system32\drivers\fidbox.idx

2009-11-04 19:55 . 2009-06-05 20:51        11196448        --sha-w-        c:\windows\system32\drivers\fidbox.dat

2009-11-04 19:54 . 2009-06-13 13:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-11-02 21:38 . 2009-06-05 19:59        --------        d-----w-        c:\programme\Mozilla Thunderbird

2009-11-02 05:15 . 2009-11-02 05:15        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes

2009-11-02 05:15 . 2009-11-02 05:15        --------        d-----w-        c:\programme\Malwarebytes-Anti-Malware

2009-11-02 05:15 . 2009-11-02 05:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-11-01 16:40 . 2009-11-01 16:40        --------        d-----w-        c:\programme\CCleaner

2009-11-01 13:07 . 2009-06-05 23:21        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-11-01 13:06 . 2009-06-05 23:21        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\MyPhoneExplorer

2009-10-31 16:42 . 2009-10-31 16:42        18385359        ----a-w-        c:\windows\Internet Logs\vsmon_on_demand_2009_10_31_17_32_37_full.dmp.zip

2009-10-31 11:07 . 2010-03-02 07:59        85070        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-31 11:07 . 2010-03-02 07:59        459728        ----a-w-        c:\windows\system32\perfh007.dat

2009-10-31 11:00 . 2009-10-31 16:32        1694720        ----a-w-        c:\windows\Internet Logs\xDBF.tmp

2009-10-30 19:08 . 2009-10-31 08:50        2887680        ----a-w-        c:\windows\Internet Logs\xDBD.tmp

2009-10-30 19:04 . 2009-10-31 08:50        1684480        ----a-w-        c:\windows\Internet Logs\xDBE.tmp

2009-10-30 17:38 . 2009-06-05 19:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8

2009-10-30 15:14 . 2009-07-13 18:20        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Azureus

2009-10-30 14:25 . 2009-06-13 13:29        --------        d-----w-        c:\programme\SpybotSearchDestroy

2009-10-19 19:56 . 2009-10-21 03:24        1673728        ----a-w-        c:\windows\Internet Logs\xDBC.tmp

2009-10-18 10:36 . 2009-03-02 09:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2009-10-12 07:16 . 2009-10-30 17:47        2064152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avgcorex.dll

2009-10-12 07:16 . 2009-10-17 07:51        2023704        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avgtray.exe

2009-10-09 06:48 . 2009-06-06 19:23        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Canon

2009-10-07 20:20 . 2009-07-13 18:19        --------        d-----w-        c:\programme\Vuze

2009-10-01 15:18 . 2009-10-01 15:27        1615360        ----a-w-        c:\windows\Internet Logs\xDBA.tmp

2009-10-01 15:18 . 2009-10-01 15:27        1641472        ----a-w-        c:\windows\Internet Logs\xDBB.tmp

2009-09-25 09:37 . 2009-09-25 09:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\ParallelGraphics

2009-09-25 09:33 . 2009-09-25 09:33        --------        d-----w-        c:\programme\7-Zip

2009-09-18 19:23 . 2009-09-18 19:31        1628160        ----a-w-        c:\windows\Internet Logs\xDB9.tmp

2009-09-18 19:23 . 2009-09-18 19:31        1162240        ----a-w-        c:\windows\Internet Logs\xDB8.tmp

2009-09-13 06:55 . 2009-09-13 06:55        --------        d-----w-        c:\programme\FreePDF_XP

2009-09-13 06:55 . 2009-09-13 06:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreePDF

2009-09-13 06:54 . 2009-09-13 06:54        --------        d-----w-        c:\programme\Ghostscript

2009-09-13 06:28 . 2009-06-05 19:02        11952        ----a-w-        c:\windows\system32\avgrsstx.dll

2009-09-13 06:28 . 2009-06-05 19:02        335240        ----a-w-        c:\windows\system32\drivers\avgldx86.sys

2009-09-13 06:28 . 2009-06-05 19:02        27784        ----a-w-        c:\windows\system32\drivers\avgmfx86.sys

2009-09-12 10:57 . 2009-09-12 10:53        --------        d-----w-        c:\programme\WinMerge

2009-09-12 10:18 . 2009-06-05 22:15        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\vlc

2009-09-12 05:58 . 2009-09-12 06:19        1737728        ----a-w-        c:\windows\Internet Logs\xDB7.tmp

2009-09-11 14:17 . 2010-03-02 07:58        136192        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-10 13:54 . 2009-11-02 05:15        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 13:53 . 2009-11-02 05:15        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-09-04 21:03 . 2010-03-02 07:58        58880        ----a-w-        c:\windows\system32\msasn1.dll

2009-08-29 07:24 . 2010-03-02 07:58        832512        ----a-w-        c:\windows\system32\wininet.dll

2009-08-29 07:24 . 2010-03-02 07:58        78336        ----a-w-        c:\windows\system32\ieencode.dll

2009-08-29 07:24 . 2010-03-02 07:58        17408        ----a-w-        c:\windows\system32\corpol.dll

2009-08-26 08:00 . 2010-03-02 07:59        247326        ----a-w-        c:\windows\system32\strmdll.dll

2009-08-12 17:41 . 2009-08-13 05:22        1584640        ----a-w-        c:\windows\Internet Logs\xDB6.tmp

2009-08-12 17:41 . 2009-08-13 05:22        2798080        ----a-w-        c:\windows\Internet Logs\xDB5.tmp

2009-08-11 13:56 . 2009-06-05 21:41        70456        ----a-w-        c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2008-05-07 08:34 . 2009-03-02 08:49        15523560        ----a-w-        c:\programme\U1 Setup.exe

.
 

------- Sigcheck -------
 

[-] 2009-06-13 14:40 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe

[-] 2009-06-13 14:40 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]

@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"

[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]

2008-07-25 09:16        282112        ----a-w-        c:\windows\system32\mscoree.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]

@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"

[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]

2008-07-25 09:16        282112        ----a-w-        c:\windows\system32\mscoree.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-02-12 21898024]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]

"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2009-01-23 416768]

"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]

"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-10-17 2025752]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes-Anti-Malware\mbam.exe" [2009-09-10 1312080]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

BTTray.lnk.disabled [2009-3-2 681]

SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-3-2 376832]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-09-13 06:28        11952        ----a-w-        c:\windows\system32\avgrsstx.dll
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" /background
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"Alcmtr"=ALCMTR.EXE

"AsusTray"=c:\programme\EeePC\ACPI\AsTray.exe

"IgfxTray"=c:\windows\system32\igfxtray.exe

"MaxMenuMgr"="c:\programme\SeagateManager\FreeAgent Status\StxMenuMgr.exe"

"Persistence"=c:\windows\system32\igfxpers.exe

"RTHDCPL"=RTHDCPL.EXE

"SunJavaUpdateSched"="c:\programme\JavaJRE6U14\bin\jusched.exe"

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=

"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=

"c:\\Programme\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [05.06.2009 20:02 335240]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [05.06.2009 20:02 108552]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [05.06.2009 20:02 297752]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [02.03.2009 10:04 55136]

R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [02.03.2009 09:44 10752]

R3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [01.08.2008 03:24 93696]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02.03.2009 09:42 1684736]

S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [08.12.2008 17:01 533344]

S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [04.11.2008 10:28 38400]

S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02.03.2009 09:44 704384]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - MBR

*NewlyCreated* - PROCEXP113

*Deregistered* - mbr

*Deregistered* - PROCEXP113
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G3214441}]

c:\winlogonss\winlogons\MS.exe

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\tq6omy7a.default\

FF - plugin: c:\programme\Gemeinsame Dateien\ParallelGraphics\Cortona\npCortona.dll

FF - plugin: c:\programme\JavaJRE6U14\bin\new_plugin\npdeploytk.dll

FF - plugin: c:\programme\JavaJRE6U14\bin\new_plugin\npjp2.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npCortona.dll

FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-04 21:33

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys iaStor.sys spsn.sys hal.dll >>UNKNOWN [0x8A3B7938]<< 

kernel: MBR read successfully

user & kernel MBR OK 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

iaStor.sys @ 0x0 0x0 bytes
 

\Driver\iaStor [ IRP_MJ_CREATE ] 0x43E6A != 0xB9D86720 iaStor.sys

\Driver\iaStor [ IRP_MJ_CLOSE ] 0x43E6A != 0xB9D86720 iaStor.sys

\Driver\iaStor [ IRP_MJ_DEVICE_CONTROL ] 0x40ED4 != 0xB9D86720 iaStor.sys

\Driver\iaStor [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x3DE74 != 0xB9D86720 iaStor.sys

\Driver\iaStor [ IRP_MJ_POWER ] 0x38FF0 != 0xB9D86720 iaStor.sys

\Driver\iaStor [ IRP_MJ_SYSTEM_CONTROL ] 0x38322 != 0xB9D86720 iaStor.sys

\Driver\iaStor IRP hooks detected !
 

**************************************************************************

.

Zeit der Fertigstellung: 2009-11-04 21:38

ComboFix-quarantined-files.txt  2009-11-04 20:38
 

Vor Suchlauf: 5 Verzeichnis(se), 58.621.771.776 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 58.584.965.120 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

hi

1.
- Malware-Scan mit a-squared Free
- Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen.
- Also lade a-squared Free von Emsisoft herunter
- Update das Programm und lass dein rechner komplett scannen
- Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten.

2.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

3.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)