Trojaner-Board - PC total verseucht, versucht zu bereinigen, hijack-Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PC total verseucht, versucht zu bereinigen, hijack-Log (https://www.trojaner-board.de/81165-pc-total-verseucht-versucht-bereinigen-hijack-log.html)

PC total verseucht, versucht zu bereinigen, hijack-Log

hi,
ich habe gestern Abend plötzlich eine Reihe von Viren-/ und Trojanerwarnungen bekommen.. als ich dann Avira (ich weiß, ein miserables Prog) öffnen wollte, hat sich ständig eine Warnmeldung geöffnet, dass mein PC gerade von einer fremden IP attackiert wird, obwohl ich bereits den W-Lan-Router ausgeschaltet habe und keine Verbindung zum Internet bestand.

Die ersten Versuche, die Dateien zu finden und zu entfernen scheiterten, da sie sich zwar finden ließen, aber Entfernung war nicht möglich.
Desweiteren hat sich dann Avira ohne mein zutun deinstalliert und es ließ sich auch nicht erneut installieren. Andere Virenprogramme ließen sich nicht installieren bzw. nicht öffnen.
Ich habe dann über Umwege (anderer PC und Speicherstick) u.a. Dr.Web auf dem infizierten PC installieren können.. dadurch ließen sich 19 Trojaner und 1 Backdoor finden und entfernen..
ich habe den Scan sowohl im abgesicherten als auch im Normalen Modus gemacht und weiß jetzt leider nicht, ob meine Bemühungen Erfolg hatten, oder ob immer noch "was faul" ist.

hier noch ein Screen vom ersten Durchlauf mit Dr.Web:
http://www.kingpic.net/uploads/toja.png
desweiteren fand das Antiviren-Prog noch folgendes:
A0077826 (ließ sich nicht desinfizieren, kam in Quarantäne und ließ sich dann im abgesicherten Modus entfernen)
A0079352 (das selbe wie oben)
a.exe
b.exe
c.exe
d.exe
e.exe
g.exe
h.exe
74.tmp
außerdem noch 2 weitere Backdoors, einmal unter IE (genauer Name leider nicht notiert)
und einmal unter Firefox: C:\Programme\Mozilla Firefox\firefox.exe:3192 -> Status: Backdoor.Tdss.565

HTML-Code:

Hier noch ein HiJackThis-Log:
 

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 05:15:18, on 03.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\csrcs.exe

C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

C:\Programme\AOL 9.0 VR\waol.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe

C:\Programme\AOL 9.0 VR\shellmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Annabell')

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User 'Annabell')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - [url]http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab[/url]

O17 - HKLM\System\CCS\Services\Tcpip\..\{89087535-ABFA-4AC1-8EB3-EEA271A719BD}: NameServer = 213.191.74.18 62.109.123.196

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe

O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
 

--

End of file - 7446 bytes

wäre nett, wenn mir da jemand weiterhelfen könnte..

edit: scheint immer noch etwas nicht zu stimmen, da sich malwarebytes nach wie vor nicht öffnen lässt... erneute Scans finden aber nichts. Langsam bin ich mit meinen Latein am Ende...

Nachtrag: Superantispyware lässt sich nicht installieren, es wird ständig beim Set-Up aufgrund eines Fehlers beendet.

hier noch ein Bericht des Rootkit Revealer´s:

http://www.kingpic.net/uploads/rootkit.png

nochmal ein Nachtrag, glaub das ist wichtig:
Bei mir hat sich gestern auch noch ein Fake-Antivirenprog installiert (Windows Security Checks), das ließ sich zwar vollständig entfernen (glaube ich zumindest), allerdings muss irgendwo noch was fehlerhaftes versteckt sein weil sich nach vor einige Sicherheitsprogramme nicht installieren bzw. starten lassen....
Habe bereits den Adobe Reader deinstalliert weil nach dessen Update die Probleme aufgetreten sind... da war wohl was angeheftet beim Download^^

hier nochmal ein aktueller HijackThis-Log:

HTML-Code:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 13:27:58, on 03.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\csrcs.exe

C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe

C:\Programme\AOL 9.0 VR\waol.exe

C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe

C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe

C:\Programme\AOL 9.0 VR\shellmon.exe

C:\Dokumente und Einstellungen\username\Eigene Dateien\Downloads\cureit.exe

C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX1\fra4kf.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe

C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX1\5cqxfXP.exe

C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Annabell')

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User `"username")

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{89087535-ABFA-4AC1-8EB3-EEA271A719BD}: NameServer = 213.191.74.19 62.109.123.197

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe

O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
 

--

End of file - 7326 bytes

auch Dr.Web findet nach jedem Neustart des Rechners eine neue Backdoor.. jedes mal unter einem anderen Dateinamen...

Superantispyware und Malwarebytes funktionieren nach wie vor nicht.. und Mr.Web findet immer wieder neue Backdoors.
wäre nett, wenn sich das mal jemand ansehen könnte.

Hi,

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Gmer ging nur im abgesicherten Modus, da er sich im Normalmodus währenddessen aufhängt:

HTML-Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-04 00:54:19

Windows 5.1.2600 Service Pack 3

Running: yvfjbwjb.exe; Driver: C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\pxtdrpow.sys
 
 

---- System - GMER 1.0.15 ----
 

Code            8635BE60                                                                                                          ZwEnumerateKey

Code            86227700                                                                                                          ZwFlushInstructionCache

Code            863734AE                                                                                                          IofCallDriver

Code            8626F8E6                                                                                                          IofCompleteRequest
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntoskrnl.exe!IofCallDriver                                                                                        804E13A7 5 Bytes  JMP 863734B3 

.text           ntoskrnl.exe!IofCompleteRequest                                                                                   804E17BD 5 Bytes  JMP 8626F8EB 

PAGE            ntoskrnl.exe!ZwEnumerateKey                                                                                       80578E14 5 Bytes  JMP 8635BE64 

PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                              80587BFB 5 Bytes  JMP 86227704 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                           SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                           SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

---- Modules - GMER 1.0.15 ----
 

Module          \systemroot\system32\drivers\H8SRTroukucvpwv.sys (*** hidden *** )                                                F7295000-F72B2000 (118784 bytes)                                

---- Processes - GMER 1.0.15 ----
 

Library         \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [516]  0x10000000                                                      

Library         \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [592]  0x10000000                                                      

Library         \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.exe [816]          0x10000000                                                      
 

---- Services - GMER 1.0.15 ----
 

Service         C:\WINDOWS\system32\drivers\H8SRTroukucvpwv.sys (*** hidden *** )                                                 [SYSTEM] H8SRTd.sys                                              <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys                                                                 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start                                                           1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type                                                            1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath                                                       \systemroot\system32\drivers\H8SRTroukucvpwv.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group                                                           file system

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules                                                         

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd                                                  \\?\globalroot\systemroot\system32\drivers\H8SRTroukucvpwv.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc                                                  \\?\globalroot\systemroot\system32\H8SRTmndoduysfo.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr                                               \\?\globalroot\systemroot\system32\H8SRTdrhcngdkmi.dat

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf                                               \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr                                                \\?\globalroot\systemroot\system32\H8SRTwgpswfhnhv.dll

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)                                             

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start                                                               1

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type                                                                1

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath                                                           \systemroot\system32\drivers\H8SRTroukucvpwv.sys

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group                                                               file system

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)                                     

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd                                                      \\?\globalroot\systemroot\system32\drivers\H8SRTroukucvpwv.sys

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc                                                      \\?\globalroot\systemroot\system32\H8SRTmndoduysfo.dll

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr                                                   \\?\globalroot\systemroot\system32\H8SRTdrhcngdkmi.dat

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf                                                   \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll

Reg             HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr                                                    \\?\globalroot\systemroot\system32\H8SRTwgpswfhnhv.dll
 

---- EOF - GMER 1.0.15 ----

hier der rsit-Log:

HTML-Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by username at 2010-01-04 01:36:17

Microsoft Windows XP Home Edition Service Pack 3

System drive C: has 33 GB (45%) free of 73 GB

Total RAM: 1014 MB (33% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:36:24, on 04.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\csrcs.exe

C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

C:\Programme\AOL 9.0 VR\waol.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe

C:\Programme\AOL 9.0 VR\shellmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\msa.exe

C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe

C:\Dokumente und Einstellungen\username\Eigene Dateien\Downloads\cureit.exe

C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX6\fra4kf.exe

C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX6\5cqxfXP.exe

C:\Dokumente und Einstellungen\username\Desktop\RSIT.exe

C:\Programme\trend micro\username.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\net.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b

O4 - HKCU\..\Run: [PUT2VIDQLG] C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Annabell')

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User 'username')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{89087535-ABFA-4AC1-8EB3-EEA271A719BD}: NameServer = 213.191.92.87 62.109.123.6

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: MYEOC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe

O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe

O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

O23 - Service: SXBD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
 

--

End of file - 7126 bytes
 

======Scheduled tasks folder======
 

C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}]

HP Print Enhancer - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll [2008-03-27 322880]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}]

HP Smart BHO Class - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2008-03-27 501056]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{D4027C7F-154A-4066-A1AD-4243D8127440} - Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712]

{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-20 57344]

""= []

"EDS"=C:\Programme\Samsung\Samsung EDS\EDSAgent.exe [2007-12-20 659456]

"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2008-08-28 1044480]

"DMHotKey"=C:\Programme\Samsung\Easy Display Manager\DMLoader.exe [2006-12-27 466944]

"BatteryManager"=C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe [2008-10-20 2768896]

"MagicKeyboard"=C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe [2006-05-14 151552]

"HostManager"=C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe [2006-09-26 50736]

"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"csrcs"=C:\WINDOWS\system32\csrcs.exe [2008-04-14 656432]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"AOL Fast Start"=C:\Programme\AOL 9.0 VR\AOL.EXE [2007-06-21 50480]

"PUT2VIDQLG"=C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe [2010-01-03 176128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

C:\WINDOWS\system32\igfxdev.dll [2008-02-15 208896]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"undockwithoutlogon"=1

"ShutdownWithoutLogon"=1

"NoDispCPL"=0

"NoDispSettingsPage"=0

"NoDispScrSavPage"=0
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoResolveTrack"=

"NoViewContextMenu"=

"NoFileAssociate"=

"NoFind"=

"NoRun"=

"NoClose"=

"StartMenuLogoff"=
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\Internet Explorer\IEXPLORE.EXE"="C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqpse.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe"="C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe"

"C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"

"C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\Programme\Gemeinsame Dateien\aol\acs\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\acs\AOLDial.exe:*:Enabled:AOL Optimized Dial-In"

"C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe:*:Enabled:AOL Optimized Dial-In"

"C:\Programme\Gemeinsame Dateien\aol\1232646138\ee\aolsoftware.exe"="C:\Programme\Gemeinsame Dateien\aol\1232646138\ee\aolsoftware.exe:*:Enabled:AOL Shared Components"

"C:\Programme\AOL 9.0 VR\waol.exe"="C:\Programme\AOL 9.0 VR\waol.exe:*:Enabled:AOL"

"C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe"="C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe:*:Enabled:AOL TopSpeed"

"C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe"="C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe:*:Enabled:AOL Loader"

"C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe"="C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe:*:Enabled:AOL System Information"

"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqpse.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe"="C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe"

"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe"

"C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"

"C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f945e01-db67-11dd-aeb5-001377d2bbef}]

shell\AutoRun\command - E:\labIqj.eXE

shell\OPEn\command - E:\lABIqj.exE
 
 

======List of files/folders created in the last 1 months======
 

2010-01-03 23:36:27 ----A---- C:\WINDOWS\ntbtlog.txt

2010-01-03 20:56:41 ----A---- C:\WINDOWS\msa.exe

2010-01-03 20:55:56 ----A---- C:\WINDOWS\system32\sshnas.dll

2010-01-03 20:55:37 ----A---- C:\WINDOWS\system32\xv.exe

2010-01-03 20:53:21 ----A---- C:\WINDOWS\system32\cftu.exe

2010-01-03 20:15:51 ----D---- C:\Programme\trend micro

2010-01-03 20:15:49 ----D---- C:\rsit

2010-01-03 08:38:04 ----D---- C:\WINDOWS\pss

2010-01-03 07:46:46 ----D---- C:\Programme\CCleaner

2010-01-03 05:13:51 ----D---- C:\Programme\TrendMicro

2010-01-03 02:10:14 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\TuneUp Software

2010-01-02 23:34:51 ----D---- C:\Programme\Malwarebytes' Anti-Malware

2010-01-02 23:34:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-01-02 22:48:12 ----A---- C:\WINDOWS\system32\ctfmon.exe.backup

2010-01-02 22:00:20 ----D---- C:\Programme\Avira

2010-01-02 21:04:15 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\Mozilla

2010-01-02 21:03:30 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\AOL

2010-01-02 21:03:29 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\Macromedia

2010-01-02 20:50:50 ----D---- C:\Programme\Malware Defense

2010-01-02 20:39:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9

2010-01-02 11:26:11 ----A---- C:\WINDOWS\system32\krl32mainweq.dll

2009-12-06 19:03:13 ----D---- C:\Programme\ICQ6Toolbar
 

======List of files/folders modified in the last 1 months======
 

2010-01-04 01:29:07 ----D---- C:\WINDOWS\Temp

2010-01-04 01:29:07 ----D---- C:\WINDOWS\system32

2010-01-04 01:28:04 ----SD---- C:\WINDOWS\Tasks

2010-01-04 01:27:57 ----D---- C:\Programme\Mozilla Firefox

2010-01-04 01:24:49 ----D---- C:\WINDOWS\system32\CatRoot2

2010-01-04 01:21:21 ----AC---- C:\WINDOWS\win.ini

2010-01-04 00:54:14 ----D---- C:\WINDOWS

2010-01-03 23:17:13 ----A---- C:\WINDOWS\SchedLgU.Txt

2010-01-03 20:48:38 ----D---- C:\WINDOWS\Prefetch

2010-01-03 20:48:38 ----D---- C:\WINDOWS\Minidump

2010-01-03 20:36:00 ----D---- C:\WINDOWS\system32\drivers

2010-01-03 20:15:51 ----RD---- C:\Programme

2010-01-03 08:41:12 ----SHD---- C:\WINDOWS\Installer

2010-01-03 08:41:11 ----D---- C:\WINDOWS\WinSxS

2010-01-03 08:40:06 ----HD---- C:\Config.Msi

2010-01-03 08:28:30 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft

2010-01-03 08:15:31 ----SD---- C:\WINDOWS\Downloaded Program Files

2010-01-03 08:14:46 ----D---- C:\WINDOWS\system32\Restore

2010-01-03 07:51:34 ----D---- C:\WINDOWS\system32\LogFiles

2010-01-03 07:50:15 ----D---- C:\WINDOWS\Debug

2010-01-03 05:13:52 ----SD---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\Microsoft

2010-01-03 04:04:20 ----D---- C:\Programme\Internet Explorer

2010-01-03 03:33:30 ----RSHDC---- C:\WINDOWS\system32\dllcache

2010-01-03 03:33:30 ----A---- C:\WINDOWS\system32\ctfmon.exe

2010-01-03 03:16:42 ----SHD---- C:\RECYCLER

2010-01-02 23:45:52 ----D---- C:\Dokumente und Einstellungen

2010-01-02 22:39:53 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft

2010-01-02 22:35:48 ----HD---- C:\WINDOWS\inf

2010-01-02 22:00:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2010-01-02 20:50:13 ----D---- C:\Programme\QIP

2010-01-02 19:44:41 ----D---- C:\Programme\Adobe

2010-01-02 19:44:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe

2010-01-02 06:37:14 ----D---- C:\Programme\Gemeinsame Dateien\Adobe

2009-12-23 02:02:15 ----RSD---- C:\WINDOWS\Fonts

2009-12-10 03:40:25 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI

2009-12-10 03:17:31 ----HD---- C:\WINDOWS\$hf_mig$
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]

R2 DOSMEMIO;MEMIO; \??\C:\WINDOWS\system32\MEMIO.SYS []

R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-14 88320]

R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2008-04-14 63232]

R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2008-04-14 55936]

R3 AR5416;Atheros AR5008 Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\athw.sys [2008-10-08 1334432]

R3 ATWPKT2;ATWPKT2; \??\C:\WINDOWS\system32\drivers\ATWPKT2.SYS []

R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]

R3 DNSeFilter;DNSeFilter; C:\WINDOWS\system32\drivers\SamsungEDS.sys [2008-01-14 30208]

R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]

R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]

R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]

R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-02-15 5854752]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-08-27 4753920]

R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]

R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2008-08-28 224736]

R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]

R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]

R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]

R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]

R3 VMC326;Vimicro Camera Service VMC326; C:\WINDOWS\System32\Drivers\VMC326.sys [2008-09-23 238464]

R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [2003-01-10 33588]

S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]

S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2007-03-23 67960]

S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]

S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2008-01-24 49920]

S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2008-01-24 16496]

S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2008-01-24 21568]

S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-03-17 101376]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]

S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]

S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]

S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]

S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]

S3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-14 12288]

S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]

S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]

S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]

S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]

S3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984]

S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]

S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-06-27 289024]

S4 dwshd;dwshd; C:\WINDOWS\System32\drivers\dwshd.sys []

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2008-04-14 12032]
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R2 Net Driver HPZ12;Net Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 NwSapAgent;SAP-Agent; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 SNM WLAN Service;SNM WLAN Service; C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2006-10-30 36864]

R2 SSHNAS;SSHNAS; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]

S2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]

S2 AOL ACS;AOL Connectivity Service; C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2006-10-23 46640]

S2 Samsung Update Plus;Samsung Update Plus; C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe [2008-05-13 77480]

S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2009-06-28 604416]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]

S3 DfSdkS;Defragmentation-Service; D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe [2009-01-09 410976]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]

S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]

S3 MYEOC;MYEOC; C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe [2010-01-03 502656]

S3 SXBD;SXBD; C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe [2010-01-03 424832]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2009-06-28 361216]

S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
 

-----------------EOF-----------------

und die rsit-info:

HTML-Code:

info.txt logfile of random's system information tool 1.06 2010-01-03 21:10:00
 

======Uninstall list======
 

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

32 Bit HP CIO Components Installer-->MsiExec.exe /I{F7B0E599-C114-4493-BC4D-D8FC7CBBABBB}

Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

AOL Deinstallation-->C:\Programme\Gemeinsame Dateien\AOL\uninstaller.exe

AOL Installations-Manager-->C:\Programme\AOL\AOL Installations-Manager\uninst.exe

Ashampoo WinOptimizer 6.24-->"D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\unins000.exe"

Ask Toolbar-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Atheros WLAN Client-->"C:\Programme\InstallShield Installation Information\{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}\setup.exe" -runfromtemp -l0x0007 -removeonly

Audacity 1.2.6-->"D:\Programme\Audacity\unins000.exe"

Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE

CCleaner-->"C:\Programme\CCleaner\uninst.exe"

Easy Display Manager-->"C:\Programme\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -runfromtemp -l0x0009 -removeonly

Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe"

GIMP 2.6.7-->"C:\Programme\GIMP-2.0\setup\unins000.exe"

HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall

HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

HP Customer Participation Program 11.0-->C:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat -forcereboot

HP Imaging Device Functions 11.0-->C:\Programme\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat

HP Photosmart C4400 All-In-One Driver Software 11.0 Rel .3-->C:\Programme\HP\Digital Imaging\{86732AE7-CB91-4f15-B091-FBA3D3926CD6}\setup\hpzscr01.exe -datfile hposcr29.dat -onestop

HP Photosmart Essential 3.0-->C:\Programme\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat -forcereboot

HP Smart Web Printing-->C:\Programme\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe -datfile hpqbud15.dat

HP Solution Center 11.0-->C:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat -forcereboot

HP Update-->MsiExec.exe /X{D063F201-FAC4-4D5C-B10B-615058ADE5A7}

imagine digital freedom - Samsung-->MsiExec.exe /X{8E106A57-A17E-431D-B48F-175E42EB9F74}

Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall

J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}

LADSPA_plugins-win-0.4.15-->"D:\Programme\Audacity\Plug-Ins\unins000.exe"

Magic Keyboard-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BD723E53-A42C-4702-AA04-1D74A0311590}\Setup.exe" -l0x9 Remove

Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"

Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe

Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}

Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}

Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}

Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"

Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}

Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe

MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}

MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}

MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}

MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}

Namuga 1.3M Webcam-->C:\Programme\InstallShield Installation Information\{71A51B59-E7D3-11DB-A386-005056C00008}\setup.exe -runfromtemp -l0x0009 -removeonly

OCR Software by I.R.I.S. 11.0-->C:\Programme\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat

Play Camera-->C:\Programme\InstallShield Installation Information\{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}\setup.exe -runfromtemp -l0x0407

PrintKey2000-->C:\PROGRA~1\PrintKey2000\UNWISE.EXE C:\PROGRA~1\PrintKey2000\INSTALL.LOG

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7  -removeonly

Recorder-->C:\WINDOWS\st6unst.exe -n "C:\Programme\Recorder\ST6UNST.LOG"  

Samsung Battery Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\Setup.exe" -l0x7 Remove

Samsung EDS-->MsiExec.exe /X{ABB14904-A11B-4F42-996C-80FD608A0F17}

Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x7 Remove

Samsung Network Manager 2.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} /l1031 

Samsung Recovery Solution III-->"C:\Programme\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe" -runfromtemp -l0x0007 -removeonly

Samsung Update Plus-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{685707A4-911C-468D-BFC4-64A50E5E3A0C} /l1031 

Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}

Shop for HP Supplies-->C:\Programme\HP\Digital Imaging\HPSSupply\hpzscr01.exe -datfile hpqbud16.dat

Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"

Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"

Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"

Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe"

Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"

SweetIM for Messenger 2.7-->MsiExec.exe /X{EC87E256-B0A4-4A41-8682-AB57FF21196D}

Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall

TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe

TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}

Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""

Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe"

User Guide-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x7 Remove

Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u

VST Bridge 1.1-->"D:\Programme\Audacity\Plug-ins\VST Bridge\unins000.exe"

Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"

Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}

Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}

Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}

Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe

Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}

Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}

Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}

Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll

Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"

Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall

Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"

XML Notepad 2007-->MsiExec.exe /I{FC7BACF0-1FFA-4605-B3B4-A66AB382752D}
 

======Security center information======
 

AV: Malware Defense (outdated)

AV: AntiVir Desktop (disabled) (outdated)

AV: McAfee VirusScan
 

======System event log======
 

Computer Name: ANNA

Event Code: 20158

Message: Der Benutzer "" hat eine Verbindung mit "The Internet (1)" hergestellt, unter Verwendung des Geräts "IRDA13-1".
 

Record Number: 21157

Source Name: RemoteAccess

Time Written: 20091201182708.000000+060

Event Type: Informationen

User: 
 

Computer Name: ANNA

Event Code: 31008

Message: Der DNS-Proxy-Agent konnte aus der Registrierung die Liste der

Namensauflösungsserver nicht lesen.

Die Daten enthalten den Fehlercode.
 

Record Number: 21156

Source Name: ipnathlp

Time Written: 20091201182708.000000+060

Event Type: Fehler

User: 
 

Computer Name: ANNA

Event Code: 7035

Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "ATWPKT2" gesendet.
 

Record Number: 21155

Source Name: Service Control Manager

Time Written: 20091201182706.000000+060

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

Computer Name: ANNA

Event Code: 7036

Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".
 

Record Number: 21154

Source Name: Service Control Manager

Time Written: 20091201182647.000000+060

Event Type: Informationen

User: 
 

Computer Name: ANNA

Event Code: 7036

Message: Dienst "HTTP-SSL" befindet sich jetzt im Status "Ausgeführt".
 

Record Number: 21153

Source Name: Service Control Manager

Time Written: 20091201182646.000000+060

Event Type: Informationen

User: 
 

=====Application event log=====
 

Computer Name: ANNA

Event Code: 0

Message: Service started successfully.
 

Record Number: 5

Source Name: VMCService

Time Written: 20091202051221.000000+060

Event Type: Informationen

User: 
 

Computer Name: ANNA

Event Code: 0

Message: OnStart -> 1740 ms
 

Record Number: 4

Source Name: VMCService

Time Written: 20091202051220.000000+060

Event Type: Informationen

User: 
 

Computer Name: ANNA

Event Code: 0

Message: conflictManagerTypeValue
 

Record Number: 3

Source Name: VMCService

Time Written: 20091202051219.000000+060

Event Type: Fehler

User: 
 

Computer Name: ANNA

Event Code: 0

Message: CreateEventSource -> 1126 ms
 

Record Number: 2

Source Name: VMCService

Time Written: 20091202051218.000000+060

Event Type: Informationen

User: 
 

Computer Name: ANNA

Event Code: 1800

Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
 

Record Number: 1

Source Name: SecurityCenter

Time Written: 20091202051215.000000+060

Event Type: Informationen

User: 
 

======Environment variables======
 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

"windir"=%SystemRoot%

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel

"PROCESSOR_REVISION"=1c02

"NUMBER_OF_PROCESSORS"=2

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP
 

-----------------EOF-----------------

danke schon mal für deine Mühe :daumenhoc

edit: da läuft ganz sicher noch was "böses" im Hintergrund, habe bei geschlossenen Anwendungen und Programmen teilweise bis zu 40 Prozesse am laufen, manachmal 10x svchost.exe (die alle sehr viel Prozessorleistung beanspruchen) und einige andere dubiose Prozesse, die sich kurz nach beenden wieder starten..

Hi,

da läuft ein Rootkit und jede Menge andere Sachen mit:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:



C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\net.exe

C:\WINDOWS\system32\sshnas.dll

C:\WINDOWS\system32\xv.exe

C:\WINDOWS\system32\cftu.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\MEMIO.SYS

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls Files erkannt werden, unten bei "Files to delete" mit vollem Pfad aufnehmen...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Drivers to delete:

H8SRTd.sys

 

Files to delete:

C:\WINDOWS\system32\drivers\H8SRTroukucvpwv.sys

C:\WINDOWS\system32\H8SRTxbcaykjalp.dll

C:\WINDOWS\system32\H8SRTmndoduysfo.dll

C:\WINDOWS\system32\H8SRTdrhcngdkmi.dat

C:\WINDOWS\system32\H8SRTwgpswfhnhv.dll

C:\WINDOWS\msa.exe

C:\WINDOWS\system32\csrcs.exe

C:\Programme\Ask.com\GenericAskToolbar.dll

C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe

C:\Programme\Malware Defense\mdefense.exe

C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

E:\lABIqj.exE

C:\WINDOWS\system32\krl32mainweq.dll
 
 
 
 

Folders to delete:

C:\Programme\Ask.com

C:\DOKUME~1\username\Lokale Einstellungen\Temp

C:\Programme\Malware Defense

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKCU\..\Run: [PUT2VIDQLG] C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe

O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User 'username')

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

Danach sofort MAM updaten und Fullscan alles bereinigen lassen;
Poste ein neues HJ-Log...

Chris

Logfile des Avenger´s:

HTML-Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.
 

Hidden driver "H8SRTd.sys" found!

ImagePath:  \systemroot\system32\drivers\H8SRTroukucvpwv.sys 

Start Type:  4 (Disabled)
 

Rootkit scan completed.
 

Driver "H8SRTd.sys" deleted successfully.

File "C:\WINDOWS\system32\drivers\H8SRTroukucvpwv.sys" deleted successfully.

File "C:\WINDOWS\system32\H8SRTxbcaykjalp.dll" deleted successfully.

File "C:\WINDOWS\system32\H8SRTmndoduysfo.dll" deleted successfully.

File "C:\WINDOWS\system32\H8SRTdrhcngdkmi.dat" deleted successfully.

File "C:\WINDOWS\system32\H8SRTwgpswfhnhv.dll" deleted successfully.
 

Error:  file "C:\WINDOWS\msa.exe" not found!

Deletion of file "C:\WINDOWS\msa.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\WINDOWS\system32\csrcs.exe" deleted successfully.
 

Error:  could not open file "C:\Programme\Ask.com\GenericAskToolbar.dll"

Deletion of file "C:\Programme\Ask.com\GenericAskToolbar.dll" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 
 

Error:  could not open file "C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe"

Deletion of file "C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 
 

Error:  could not open file "C:\Programme\Malware Defense\mdefense.exe"

Deletion of file "C:\Programme\Malware Defense\mdefense.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 

File "C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job" deleted successfully.

File "C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job" deleted successfully.
 

Error:  could not open file "E:\lABIqj.exE"

Deletion of file "E:\lABIqj.exE" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 
 

Error:  file "C:\WINDOWS\system32\krl32mainweq.dll" not found!

Deletion of file "C:\WINDOWS\system32\krl32mainweq.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  folder "C:\Programme\Ask.com" not found!

Deletion of folder "C:\Programme\Ask.com" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not open folder "C:\DOKUME~1\username\Lokale Einstellungen\Temp"

Deletion of folder "C:\DOKUME~1\username\Lokale Einstellungen\Temp" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 
 

Error:  folder "C:\Programme\Malware Defense" not found!

Deletion of folder "C:\Programme\Malware Defense" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

die nicht vorhandenen Dateien habe ich bevor ich hier gelesen habe bereits entfernt.

Scan der cmd.exe-Datei:

HTML-Code:

 Datei cmd.exe empfangen 2010.01.04 21:50:59 (UTC)

Status:  Beendet

Ergebnis: 0/41 (0%)
 

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.5.0.46        2010.01.04        -

AhnLab-V3        5.0.0.2        2010.01.04        -

AntiVir        7.9.1.122        2009.12.31        -

Antiy-AVL        2.0.3.7        2010.01.04        -

Authentium        5.2.0.5        2010.01.04        -

Avast        4.8.1351.0        2010.01.04        -

AVG        8.5.0.430        2010.01.04        -

BitDefender        7.2        2010.01.04        -

CAT-QuickHeal        10.00        2010.01.04        -

ClamAV        0.94.1        2010.01.04        -

Comodo        3468        2010.01.04        -

DrWeb        5.0.1.12222        2010.01.04        -

eSafe        7.0.17.0        2010.01.04        -

eTrust-Vet        35.1.7215        2010.01.04        -

F-Prot        4.5.1.85        2010.01.04        -

F-Secure        9.0.15370.0        2010.01.04        -

Fortinet        4.0.14.0        2010.01.04        -

GData        19        2010.01.04        -

Ikarus        T3.1.1.79.0        2009.12.31        -

Jiangmin        13.0.900        2010.01.04        -

K7AntiVirus        7.10.937        2010.01.04        -

Kaspersky        7.0.0.125        2010.01.04        -

McAfee        5851        2010.01.04        -

McAfee+Artemis        5851        2010.01.04        -

McAfee-GW-Edition        6.8.5        2010.01.04        -

Microsoft        1.5302        2010.01.04        -

NOD32        4743        2010.01.04        -

Norman        6.04.03        2010.01.04        -

nProtect        2009.1.8.0        2010.01.04        -

Panda        10.0.2.2        2010.01.04        -

PCTools        7.0.3.5        2010.01.04        -

Prevx        3.0        2010.01.04        -

Rising        22.29.00.04        2010.01.04        -

Sophos        4.49.0        2010.01.04        -

Sunbelt        3.2.1858.2        2010.01.04        -

Symantec        20091.2.0.41        2010.01.04        -

TheHacker        6.5.0.3.131        2010.01.04        -

TrendMicro        9.120.0.1004        2010.01.04        -

VBA32        3.12.12.1        2010.01.04        -

ViRobot        2010.1.4.2120        2010.01.04        -

VirusBuster        5.0.21.0        2010.01.04        -

weitere Informationen

File size: 401920 bytes

MD5...: 9b890f756d087991322464912fe68e75

SHA1..: 1bce682e638f9ee949b344d22011f5840145f985

SHA256: 57bf326c1afc57803f6e5e77458080fe5a1c1413c6f9bd3cc37add07008e6812

ssdeep: 3072:NhRx1q315oF8opcnD1hOOrWGzN2lcR2u8JnxIbU+qwlTMbxrCsmqwju5HeE

UcWjS:bUF5oXpcFb5DRsNxIbUNaMWOmyiA

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x5046

timedatestamp.....: 0x48025baf (Sun Apr 13 19:14:55 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1f620 0x1f800 6.58 740783b607d882838dc736c2540b49d5

.data 0x21000 0x1ca24 0x1ca00 0.17 ac08e12c2ca9c0b872b354378edde336

.rsrc 0x3e000 0x25aa0 0x25c00 3.87 f387127006010233a6733ac143defa83
 

( 3 imports )

> KERNEL32.dll: FlushConsoleInputBuffer, LoadLibraryA, InterlockedExchange, FreeLibrary, LocalAlloc, GetVDMCurrentDirectories, CmdBatNotification, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetThreadLocale, GetDiskFreeSpaceExW, CompareFileTime, RemoveDirectoryW, GetCurrentDirectoryW, SetCurrentDirectoryW, TerminateProcess, WaitForSingleObject, GetExitCodeProcess, CopyFileW, SetFileAttributesW, DeleteFileW, SetFileTime, CreateDirectoryW, FillConsoleOutputAttribute, SetConsoleTextAttribute, ScrollConsoleScreenBufferW, FormatMessageW, DuplicateHandle, FlushFileBuffers, HeapReAlloc, HeapSize, GetFileAttributesExW, LocalFree, GetDriveTypeW, InitializeCriticalSection, SetConsoleCtrlHandler, GetWindowsDirectoryW, GetConsoleTitleW, GetModuleFileNameW, GetVersion, EnterCriticalSection, LeaveCriticalSection, ExpandEnvironmentStringsW, SearchPathW, WriteFile, GetVolumeInformationW, SetLastError, MoveFileW, SetConsoleTitleW, MoveFileExW, GetBinaryTypeW, GetFileAttributesW, GetCurrentThreadId, CreateProcessW, LoadLibraryW, ReadProcessMemory, SetErrorMode, GetConsoleMode, SetConsoleMode, VirtualAlloc, VirtualFree, SetEnvironmentVariableW, GetEnvironmentVariableW, GetCommandLineW, GetEnvironmentStringsW, GetLocalTime, GetTimeFormatW, FileTimeToLocalFileTime, GetDateFormatW, GetLastError, CloseHandle, SetThreadLocale, GetProcAddress, GetModuleHandleW, SetFilePointer, lstrcmpW, lstrcmpiW, HeapAlloc, GetProcessHeap, HeapFree, MultiByteToWideChar, ReadFile, WriteConsoleW, FillConsoleOutputCharacterW, SetConsoleCursorPosition, ReadConsoleW, GetConsoleScreenBufferInfo, GetStdHandle, GetFileType, VirtualQuery, RaiseException, GetCPInfo, GetConsoleOutputCP, WideCharToMultiByte, GetFileSize, CreateFileW, FindClose, FindNextFileW, FindFirstFileW, GetFullPathNameW, GetUserDefaultLCID, GetLocaleInfoW, SetLocalTime, SystemTimeToFileTime, GetSystemTime, FileTimeToSystemTime

> msvcrt.dll: __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, calloc, _wcslwr, qsort, _vsnwprintf, wcsstr, _dup2, _dup, _open_osfhandle, _close, swscanf, _ultoa, _pipe, _seh_longjmp_unwind, _setmode, wcsncmp, iswxdigit, fflush, exit, _wtol, time, srand, __set_app_type, wcsrchr, malloc, free, wcstoul, _errno, iswalpha, printf, rand, swprintf, _iob, fprintf, towlower, realloc, setlocale, _snwprintf, wcscat, _wcsupr, wcsncpy, _wpopen, fgets, _pclose, memmove, wcschr, iswspace, _tell, longjmp, wcscmp, _wcsnicmp, _wcsicmp, wcstol, iswdigit, _getch, _get_osfhandle, _controlfp, _setjmp3, _except_handler3, wcscpy, wcslen, wcsspn, towupper

> USER32.dll: GetUserObjectInformationW, GetThreadDesktop, MessageBeep, GetProcessWindowStation
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

sigcheck:

publisher....: Microsoft Corporation

copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.

product......: Betriebssystem Microsoft_ Windows_

description..: Windows-Befehlsprozessor

original name: Cmd.Exe

internal name: cmd

file version.: 5.1.2600.5512 (xpsp.080413-2111)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

Scan der ctfmon.exe-Datei:

HTML-Code:

Datei ctfmon.exe empfangen 2010.01.04 22:11:13 (UTC)

Status: Beendet

Ergebnis: 0/41 (0%)
 

a-squared        4.5.0.46        2010.01.04        -

AhnLab-V3        5.0.0.2        2010.01.04        -

AntiVir        7.9.1.122        2009.12.31        -

Antiy-AVL        2.0.3.7        2010.01.04        -

Authentium        5.2.0.5        2010.01.04        -

Avast        4.8.1351.0        2010.01.04        -

AVG        8.5.0.430        2010.01.04        -

BitDefender        7.2        2010.01.04        -

CAT-QuickHeal        10.00        2010.01.04        -

ClamAV        0.94.1        2010.01.04        -

Comodo        3468        2010.01.04        -

DrWeb        5.0.1.12222        2010.01.04        -

eSafe        7.0.17.0        2010.01.04        -

eTrust-Vet        35.1.7215        2010.01.04        -

F-Prot        4.5.1.85        2010.01.04        -

F-Secure        9.0.15370.0        2010.01.04        -

Fortinet        4.0.14.0        2010.01.04        -

GData        19        2010.01.04        -

Ikarus        T3.1.1.79.0        2009.12.31        -

Jiangmin        13.0.900        2010.01.04        -

K7AntiVirus        7.10.937        2010.01.04        -

Kaspersky        7.0.0.125        2010.01.04        -

McAfee        5851        2010.01.04        -

McAfee+Artemis        5851        2010.01.04        -

McAfee-GW-Edition        6.8.5        2010.01.04        -

Microsoft        1.5302        2010.01.04        -

NOD32        4743        2010.01.04        -

Norman        6.04.03        2010.01.04        -

nProtect        2009.1.8.0        2010.01.04        -

Panda        10.0.2.2        2010.01.04        -

PCTools        7.0.3.5        2010.01.04        -

Prevx        3.0        2010.01.04        -

Rising        22.29.00.04        2010.01.04        -

Sophos        4.49.0        2010.01.04        -

Sunbelt        3.2.1858.2        2010.01.04        -

Symantec        20091.2.0.41        2010.01.04        -

TheHacker        6.5.0.3.131        2010.01.04        -

TrendMicro        9.120.0.1004        2010.01.04        -

VBA32        3.12.12.1        2010.01.04        -

ViRobot        2010.1.4.2120        2010.01.04        -

VirusBuster        5.0.21.0        2010.01.04        -

weitere Informationen

File size: 24064 bytes

MD5...: c3a2915c71ae6f225eb906c25ccd29b5

SHA1..: 1cf5830c4870e9c898ca2405a9bffd3e262951c8

SHA256: e70818d0dc35a6aaf26c2d48a74f98509f9d0c53cfa1ab604cf47532f044010f

ssdeep: 384:e8NcccLxxfAA2BwRyb1vL11j9rCzlagxvY1NvJmlTZgO:e8ehLfAjhBT11j9

mRaglOslTqO

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1028

timedatestamp.....: 0x48353dd4 (Thu May 22 09:33:08 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x3bb8 0x3c00 6.58 59c51a38dacc13381152af9207eb91db

.rdata 0x5000 0x121a 0x1400 4.50 01373b9a6d623aded004dd1276f8d82c

.data 0x7000 0x858 0x400 2.13 b5d87e54f49741bb78b88012aacb4d30

.rsrc 0x8000 0x418 0x600 2.48 b02570ee42377c71d5bca68d75c2ba72
 

( 1 imports )

> KERNEL32.dll: GetModuleHandleA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

sigcheck:

publisher....: Gerhard Schlager

copyright....: Copyright (c) 2002-2008 Gerhard Schlager

product......: Dummy CTFMON.EXE (part of the CTFMON-Remover)

description..: Dummy to replace the annoying CTFMON.EXE

original name: CTFMON.EXE

internal name: n/a

file version.: 1.0.0.5

comments.....: http://www.gerhard-schlager.at/projects/ctfmonremover/

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

Scan der net.exe-Datei:

HTML-Code:

Datei net.exe empfangen 2010.01.04 21:58:51 (UTC)

Status:  Beendet

Ergebnis: 0/38 (0%)
 

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.5.0.46        2010.01.04        -

AhnLab-V3        5.0.0.2        2010.01.04        -

AntiVir        7.9.1.122        2009.12.31        -

Antiy-AVL        2.0.3.7        2010.01.04        -

Authentium        5.2.0.5        2010.01.04        -

Avast        4.8.1351.0        2010.01.04        -

BitDefender        7.2        2010.01.04        -

CAT-QuickHeal        10.00        2010.01.04        -

ClamAV        0.94.1        2010.01.04        -

Comodo        3468        2010.01.04        -

DrWeb        5.0.1.12222        2010.01.04        -

eSafe        7.0.17.0        2010.01.04        -

eTrust-Vet        35.1.7215        2010.01.04        -

F-Prot        4.5.1.85        2010.01.04        -

F-Secure        9.0.15370.0        2010.01.04        -

Fortinet        4.0.14.0        2010.01.04        -

GData        19        2010.01.04        -

Ikarus        T3.1.1.79.0        2009.12.31        -

Jiangmin        13.0.900        2010.01.04        -

K7AntiVirus        7.10.937        2010.01.04        -

Kaspersky        7.0.0.125        2010.01.04        -

McAfee        5851        2010.01.04        -

McAfee+Artemis        5851        2010.01.04        -

McAfee-GW-Edition        6.8.5        2010.01.04        -

Microsoft        1.5302        2010.01.04        -

NOD32        4743        2010.01.04        -

Norman        6.04.03        2010.01.04        -

nProtect        2009.1.8.0        2010.01.04        -

Panda        10.0.2.2        2010.01.04        -

PCTools        7.0.3.5        2010.01.04        -

Rising        22.29.00.04        2010.01.04        -

Sophos        4.49.0        2010.01.04        -

Sunbelt        3.2.1858.2        2010.01.04        -

TheHacker        6.5.0.3.131        2010.01.04        -

TrendMicro        9.120.0.1004        2010.01.04        -

VBA32        3.12.12.1        2010.01.04        -

ViRobot        2010.1.4.2120        2010.01.04        -

VirusBuster        5.0.21.0        2010.01.04        -

weitere Informationen

File size: 42496 bytes

MD5...: 5fbd9fb053c30b67c630f30f1b36f5e4

SHA1..: 22f535a06bd98f26b47372b4da4cb59b46632734

SHA256: 5bd1116fbe3799fa06ba575af2ef77cebd75a250723af5fa61911bfc5644c79e

ssdeep: 768:nVO7C3e89lrLy3yDKtniWmXapYnkqXS5RQjRPzSmPcW6GxeqNg:U7Cblrmti

5XZkqXSYjRPumr6keqNg

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x49d1

timedatestamp.....: 0x4802520b (Sun Apr 13 18:33:47 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x7e12 0x8000 6.34 c7b841d39ab89f3eb3984f4ea36c8d9c

.data 0x9000 0xb240 0x1e00 3.10 0e00cfb88f6785358b16e87756415cd0

.rsrc 0x15000 0x3c0 0x400 3.25 5f273c18a2573174c757799e4aaac4d5
 

( 6 imports )

> msvcrt.dll: _setmode, qsort, wcsncmp, wcsncpy, wcsrchr, _c_exit, _exit, _XcptFilter, _cexit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _ultow, wcspbrk, iswctype, _wcsupr, wcscmp, _wcsicmp, wcschr, wcscpy, wcscat, exit, sprintf, setlocale, _wcsnicmp, wcslen, _iob, _vsnwprintf, _snwprintf, putchar, malloc, swprintf, wcsspn, wcscspn, calloc, fread, ftell, _wcsdup, wcstok, _wfopen, _local_unwind2, memmove, _ultoa

> ADVAPI32.dll: RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegEnumValueW

> KERNEL32.dll: LoadLibraryW, FormatMessageW, LocalFree, GetModuleFileNameW, SetLastError, PeekConsoleInputW, GetConsoleMode, SetConsoleMode, ReadConsoleW, GetFileType, DelayLoadFailureHook, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetConsoleScreenBufferInfo, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, FreeLibrary, WriteConsoleW, GetDriveTypeW, WriteProfileStringW, GetProfileStringW, CreateProcessW, CloseHandle, WaitForSingleObject, WriteFile, WideCharToMultiByte, LocalAlloc, GetCurrentProcess, GetProcAddress, GetCommandLineW, GetLastError, GetStdHandle, SetThreadLocale, GetSystemDefaultLangID, GetCPInfo, GetConsoleOutputCP, GetExitCodeProcess

> NETAPI32.dll: NetServerGetInfo, NetServerEnum, NetWkstaGetInfo, NetWkstaUserGetInfo, I_NetPathType, I_NetNameValidate, NetApiBufferReallocate, NetApiBufferAllocate, NetapipBufferAllocate, NetShareEnum, NetApiBufferFree, NetUseEnum, NetUseGetInfo, NetUserGetInfo

> MPR.dll: WNetGetLastErrorW, WNetAddConnection2W, WNetCancelConnection2W, WNetCloseEnum, WNetGetConnectionW, WNetOpenEnumW, WNetEnumResourceW

> ntdll.dll: RtlAllocateHeap, RtlInitUnicodeString, RtlOemStringToUnicodeString, RtlInitAnsiString
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

sigcheck:

publisher....: Microsoft Corporation

copyright....: (c) Microsoft Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: Net Command

original name: net.exe

internal name: net.exe

file version.: 5.1.2600.5512 (xpsp.080413-2113)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

trid..: Win64 Executable Generic (80.9%)

Win32 Executable Generic (8.0%)

Win32 Dynamic Link Library (generic) (7.1%)

Generic Win/DOS Executable (1.8%)

DOS Executable Generic (1.8%)

pdfid.: -

scan der sshnas.dll-Datei

HTML-Code:

Datei sshnas.dll empfangen 2010.01.04 22:07:11 (UTC)

Status: Beendet

Ergebnis: 7/41 (17.08%)
 

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.5.0.46        2010.01.04        Trojan.Win32.FakeAV!IK

AhnLab-V3        5.0.0.2        2010.01.04        -

AntiVir        7.9.1.122        2009.12.31        -

Antiy-AVL        2.0.3.7        2010.01.04        -

Authentium        5.2.0.5        2010.01.04        -

Avast        4.8.1351.0        2010.01.04        -

AVG        8.5.0.430        2010.01.04        -

BitDefender        7.2        2010.01.04        -

CAT-QuickHeal        10.00        2010.01.04        -

ClamAV        0.94.1        2010.01.04        -

Comodo        3468        2010.01.04        -

DrWeb        5.0.1.12222        2010.01.04        Trojan.Click.39880

eSafe        7.0.17.0        2010.01.04        -

eTrust-Vet        35.1.7215        2010.01.04        Win32/Warduncrypt!packed

F-Prot        4.5.1.85        2010.01.04        -

F-Secure        9.0.15370.0        2010.01.04        -

Fortinet        4.0.14.0        2010.01.04        -

GData        19        2010.01.04        -

Ikarus        T3.1.1.79.0        2009.12.31        -

Jiangmin        13.0.900        2010.01.04        -

K7AntiVirus        7.10.937        2010.01.04        -

Kaspersky        7.0.0.125        2010.01.04        Trojan.Win32.FraudPack.ajpq

McAfee        5851        2010.01.04        -

McAfee+Artemis        5851        2010.01.04        -

McAfee-GW-Edition        6.8.5        2010.01.04        -

Microsoft        1.5302        2010.01.04        TrojanDownloader:Win32/Renos.JZ

NOD32        4743        2010.01.04        Win32/TrojanDownloader.FakeAlert.ARF

Norman        6.04.03        2010.01.04        -

nProtect        2009.1.8.0        2010.01.04        -

Panda        10.0.2.2        2010.01.04        -

PCTools        7.0.3.5        2010.01.04        -

Prevx        3.0        2010.01.04        Medium Risk Malware

Rising        22.29.00.04        2010.01.04        -

Sophos        4.49.0        2010.01.04        -

Sunbelt        3.2.1858.2        2010.01.04        -

Symantec        20091.2.0.41        2010.01.04        -

TheHacker        6.5.0.3.131        2010.01.04        -

TrendMicro        9.120.0.1004        2010.01.04        -

VBA32        3.12.12.1        2010.01.04        -

ViRobot        2010.1.4.2120        2010.01.04        -

VirusBuster        5.0.21.0        2010.01.04        -

weitere Informationen

File size: 233984 bytes

MD5...: a5a2f8864993520632e2a851303eb111

SHA1..: 63fb070c9ad656b1c198d79896dea03cc44d9d9d

SHA256: 99aed3650e34e29766cb2e55ac1b3654feaa49e52ab0bd2092ac306d09bd42a3

ssdeep: 6144:boNhKXWARLUcoLr6lMSHzHqJbrtda+u4W8C6Nx:boNhmWARQcoiyGHEbad4

v

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x144a

timedatestamp.....: 0x457b6339 (Sun Dec 10 01:30:33 2006)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.kpjbc 0x1000 0x7be5 0x7c00 1.28 32190fa98c062ca319b9758a6fb3bfe6

.inml 0x9000 0x7721 0x7800 4.19 4b7f1f5c6e49718216b74aebd9fc3eb2

.lcdm 0x11000 0x72eae 0x28000 7.03 2512ff2b2e91e889e7e351d234fccd95

.jgjbo 0x84000 0x721 0x800 0.81 e2dd6685dd44a4dfc7361767b2252c6a

.pinkj 0x85000 0x119b 0x1200 0.01 79e8ec7bca25385f3a2e2aa6d1448882
 

( 4 imports )

> kernel32.dll: ExitProcess

> user32.dll: GetWindowTextLengthA

> advapi32.dll: RegEnumValueW

> kernel32.dll: CopyFileExA
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

trid..: Win32 Executable Generic (38.4%)

Win32 Dynamic Link Library (generic) (34.2%)

Clipper DOS Executable (9.1%)

Generic Win/DOS Executable (9.0%)

DOS Executable Generic (9.0%)
 <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C0B4678700C4239A925003F4ABA1100004822B27' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C0B4678700C4239A925003F4ABA1100004822B27</a>

Scan der MEMIO.SYS-Datei:

HTML-Code:

Datei MEMIO.SYS empfangen 2010.01.04 22:14:02 (UTC)

Status: Beendet

Ergebnis: 0/41 (0%)
 

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.5.0.46        2010.01.04        -

AhnLab-V3        5.0.0.2        2010.01.04        -

AntiVir        7.9.1.122        2009.12.31        -

Antiy-AVL        2.0.3.7        2010.01.04        -

Authentium        5.2.0.5        2010.01.04        -

Avast        4.8.1351.0        2010.01.04        -

AVG        8.5.0.430        2010.01.04        -

BitDefender        7.2        2010.01.04        -

CAT-QuickHeal        10.00        2010.01.04        -

ClamAV        0.94.1        2010.01.04        -

Comodo        3468        2010.01.04        -

DrWeb        5.0.1.12222        2010.01.04        -

eSafe        7.0.17.0        2010.01.04        -

eTrust-Vet        35.1.7215        2010.01.04        -

F-Prot        4.5.1.85        2010.01.04        -

F-Secure        9.0.15370.0        2010.01.04        -

Fortinet        4.0.14.0        2010.01.04        -

GData        19        2010.01.04        -

Ikarus        T3.1.1.79.0        2009.12.31        -

Jiangmin        13.0.900        2010.01.04        -

K7AntiVirus        7.10.937        2010.01.04        -

Kaspersky        7.0.0.125        2010.01.04        -

McAfee        5851        2010.01.04        -

McAfee+Artemis        5851        2010.01.04        -

McAfee-GW-Edition        6.8.5        2010.01.04        -

Microsoft        1.5302        2010.01.04        -

NOD32        4743        2010.01.04        -

Norman        6.04.03        2010.01.04        -

nProtect        2009.1.8.0        2010.01.04        -

Panda        10.0.2.2        2010.01.04        -

PCTools        7.0.3.5        2010.01.04        -

Prevx        3.0        2010.01.04        -

Rising        22.29.00.04        2010.01.04        -

Sophos        4.49.0        2010.01.04        -

Sunbelt        3.2.1858.2        2010.01.04        -

Symantec        20091.2.0.41        2010.01.04        -

TheHacker        6.5.0.3.131        2010.01.04        -

TrendMicro        9.120.0.1004        2010.01.04        -

VBA32        3.12.12.1        2010.01.04        -

ViRobot        2010.1.4.2120        2010.01.04        -

VirusBuster        5.0.21.0        2010.01.04        -

weitere Informationen

File size: 4300 bytes

MD5...: 8a4cb9438571814b128b6dc30d698064

SHA1..: d62d435a5d9b799e36d05fc32237397602b3dd8c

SHA256: 2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388

ssdeep: 96:10rzOx7yxqQvQlwSBEhE9v1eNbsh+8i1T:Wrz87yxq/5EiA/BT

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x536

timedatestamp.....: 0x39a3f999 (Wed Aug 23 16:19:37 2000)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x260 0x3d4 0x3e0 5.56 cff4fa2b6a2447cdaafb75c219574d08

INIT 0x640 0x1c8 0x1e0 4.69 f74ffb39ec6562bc6e4dd88d6efb84a0

.reloc 0x820 0x62 0x80 2.84 83b34193848d7c2bab1ad0d9fee784a4
 

( 2 imports )

> ntoskrnl.exe: RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, IofCompleteRequest, IoDeleteDevice, MmUnmapIoSpace, IoDeleteSymbolicLink, MmMapIoSpace

> HAL.dll: READ_PORT_UCHAR, READ_PORT_ULONG, WRITE_PORT_USHORT, HalTranslateBusAddress, READ_PORT_USHORT, WRITE_PORT_UCHAR, WRITE_PORT_ULONG
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

diese beiden habe ich bereits entfernt, bevor ich deine Anweisungen gelesen habe:
C:\WINDOWS\system32\xv.exe
C:\WINDOWS\system32\cftu.exe

und der neue HijackThis-Log:

HTML-Code:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 00:29:37, on 05.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe

C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: MYEOC - Unknown owner - C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe (file missing)

O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe

O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

O23 - Service: SXBD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
 

--

End of file - 5877 bytes

Hi,

hast Du vergessen MAM im Fullscan mode laufen zu lassen (alles bereinigen?). Das Log fehlt? Undbdingt ggf. nacholen!

Die Datei "C:\WINDOWS\system32\sshnas.dll" löschen!

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

O23 - Service: MYEOC - Unknown owner - C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe (file missing)

O23 - Service: SXBD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

Scan mit Avira:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

chris

hi,
hab nur vergessen den Log zu posten^^

HTML-Code:

Malwarebytes' Anti-Malware 1.43

Datenbank Version: 3458

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

05.01.2010 00:26:27

mbam-log-2010-01-05 (00-26-27).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 181272

Laufzeit: 40 minute(s), 50 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 11

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

c:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\put2vidqlg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Delete on reboot.

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\H8SRT7b18.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\b.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\c.exe (Trojan.Dropper) -> Delete on reboot.

C:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.

Antivir-Report kommt gleich, läuft gerade.

HTML-Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Dienstag, 5. Januar 2010  11:38
 

Es wird nach 1499407 Virenstämmen gesucht.
 

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : ANNA
 

Versionsinformationen:

BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00

AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28

AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10

LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44

LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59

VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52

VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 02:35:57

VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 02:35:57

VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 02:35:57

VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 02:35:58

VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 02:35:58

VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 02:35:58

VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 02:35:58

VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 02:35:58

VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 02:35:58

VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 02:35:59

VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 02:35:59

VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 02:35:59

VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 02:36:04

VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 02:36:08

VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 02:36:12

VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 02:36:17

VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 02:36:22

VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 02:36:27

VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 02:36:34

VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 02:36:38

VBASE021.VDF   : 7.10.2.94      2048 Bytes  29.12.2009 02:36:39

VBASE022.VDF   : 7.10.2.95      2048 Bytes  29.12.2009 02:36:39

VBASE023.VDF   : 7.10.2.96      2048 Bytes  29.12.2009 02:36:39

VBASE024.VDF   : 7.10.2.97      2048 Bytes  29.12.2009 02:36:39

VBASE025.VDF   : 7.10.2.98      2048 Bytes  29.12.2009 02:36:39

VBASE026.VDF   : 7.10.2.99      2048 Bytes  29.12.2009 02:36:40

VBASE027.VDF   : 7.10.2.100      2048 Bytes  29.12.2009 02:36:40

VBASE028.VDF   : 7.10.2.101      2048 Bytes  29.12.2009 02:36:40

VBASE029.VDF   : 7.10.2.102      2048 Bytes  29.12.2009 02:36:40

VBASE030.VDF   : 7.10.2.103      2048 Bytes  29.12.2009 02:36:40

VBASE031.VDF   : 7.10.2.119    167424 Bytes  04.01.2010 02:36:44

Engineversion  : 8.2.1.130

AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52

AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  05.01.2010 02:37:35

AESCN.DLL      : 8.1.3.0      127348 Bytes  05.01.2010 02:37:30

AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44

AERDL.DLL      : 8.1.3.4      479605 Bytes  05.01.2010 02:37:29

AEPACK.DLL     : 8.2.0.4      422263 Bytes  05.01.2010 02:37:23

AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38

AEHEUR.DLL     : 8.1.0.192   2195833 Bytes  05.01.2010 02:37:18

AEHELP.DLL     : 8.1.9.0      237943 Bytes  05.01.2010 02:36:55

AEGEN.DLL      : 8.1.1.83     369014 Bytes  05.01.2010 02:36:52

AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26

AECORE.DLL     : 8.1.9.1      180598 Bytes  05.01.2010 02:36:47

AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20

AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56

AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59

AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28

AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04

AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37

AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04

SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49

SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28

NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21

RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17

RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp

Protokollierung.......................: niedrig

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, 

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: mittel

Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
 

Beginn des Suchlaufs: Dienstag, 5. Januar 2010  11:38
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '28625' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'aoltpsd3.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'shellmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SNMWLANService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'waol.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BatteryManager.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'EDSAgent.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '39' Prozesse mit '39' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '54' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.

    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.

    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

Beginne mit der Suche in 'D:\'
 
 

Ende des Suchlaufs: Dienstag, 5. Januar 2010  12:19

Benötigte Zeit: 40:32 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   4694 Verzeichnisse wurden überprüft

 250094 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 250092 Dateien ohne Befall

   7223 Archive wurden durchsucht

      2 Warnungen

      2 Hinweise

  28625 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Hi,

das sieht gut aus, MAM updaten und auch noch mal laufen lassen, dann sollten wir durch sein (wenn nichts mehr gefunden wird)...

chris

die Kiste is wieder clean:

HTML-Code:

Malwarebytes' Anti-Malware 1.43

Datenbank Version: 3496

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

05.01.2010 19:31:59

mbam-log-2010-01-05 (19-31-59).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 183261

Laufzeit: 43 minute(s), 45 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

danke für die schnelle und kompetente Hilfe :)

Hi,

Okay, Bye (auf "Wiedersehen" will ich nicht schreiben ;o)...

chris & Out