Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firewall lässt sich nicht aktivieren. Da stimmt was nicht (https://www.trojaner-board.de/86651-firewall-laesst-aktivieren-stimmt.html)

Jack_xD 01.06.2010 11:16
Firewall lässt sich nicht aktivieren. Da stimmt was nicht
 
Hi. Bei meinen Hauptrechner ist mir heute aufgefallen das unten rechts angezeigt wird das die Firewall deaktiviert ist. Ich wollte sie wieder aktivieren aber dann kommt "Die Windows-Firewalleinstellungen können nicht angezeigt werden, da der zugehörige Dienst nicht ausgeführt wird". Laut Google sind da Rootkits oder Malware am werk was ich allerdings nicht glaube da bei meinen PC's sobald es irgendwo ein Update gibt ich es sofort runterlade und auch so vorsichtig im Internet bin. Zur Sicherheit lasse ich ihn mal durchchecken.

HiJackThis:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:13:42, on 01.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\TOPRO\TPPOLL.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ7.1\ICQ.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
C:\PROGRA~1\Crawler\CToolbar.exe
C:\Dokumente und Einstellungen\Alex\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60076
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = hxxp://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.crawler.com/search/ie.aspx?tb_id=60076
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: ooVoo Toolbar - {A1FB2F9A-D35E-11DD-8935-E46A56D89593} - C:\Programme\oovootb\oovoodx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)
O3 - Toolbar: ooVoo Toolbar - {A1FB2F9A-D35E-11DD-8935-E46A56D89593} - C:\Programme\oovootb\oovoodx.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008\TrayServer.exe
O4 - HKLM\..\Run: [TPPOLL] C:\Programme\TOPRO\TPPOLL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Verknüpfung mit RTHDCPL.lnk = C:\Programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Verknüpfung mit RTHDCPL.lnk = C:\Programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe (User 'Default user')
O4 - Startup: Verknüpfung mit RTHDCPL.lnk = C:\Programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.07\AMVConverter\grab.html
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.07\MediaManager\grab.html
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: hxxp://asia.msi.com.tw
O15 - Trusted Zone: hxxp://global.msi.com.tw
O15 - Trusted Zone: hxxp://www.msi.com.tw
O15 - Trusted Zone: hxxp://*.windowsupdate.microsoft.com
O15 - Trusted Zone: hxxp://*.windowsupdate.com
O16 - DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} (SeeTooControl Class) - hxxp://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=icq&c=cb0250c3f2a8f1b7c&browserVersion=7.0
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - hxxp://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253456671921
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

--
End of file - 9306 bytes
--- --- ---



Thx

Jack_xD 02.06.2010 20:54
Könnte das bitte jemand prüfen? Das ist mein Hauptrechner. Da ist das für mich besonders wichtig o.o

Jack_xD 03.06.2010 23:56
Kann doch nicht sein das keine diesen Log auswerten kann oO

Jack_xD 19.06.2010 20:34
Also ich will ja nicht spammen aber das ist wirklich extrem wichtig !!

Larusso 19.06.2010 20:36
:hallo:

Sorry, bist wohl überflogen worden. Wir versuchen das zu vermeiden, passiert aber.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

Jack_xD 19.06.2010 21:07
So. Alles mal angehangen. Die otl.txt musste ich verzippen da sie zu groß war

Und nicht wundern bei
F:
G:
H:
I:

Das ist mein Cardreader

Larusso 20.06.2010 12:36
Schritt 1

Software mit Revo Uninstaller deinstallieren

Downloade Dir bitte den Revo Uninstaller
  • Doppelklick auf die revosetup.exe.
  • Installiere das Tool in den vorgegebenen Pfad.
  • Doppelklick auf das Revo Uninstall Icon.
  • Suche Dir nun folgende Software aus der Code-Box.
    Code:
    oovootb
    Crawler
    Klicke darauf und bestätige mit Ja.
  • Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
  • Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
  • Klick auf den Markiere alle Button und klick auf löschen und bestätige mit Ja.

Bebilderte Anleitung

Starte den Rechner neu auf.


Schritt 2
Code:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
FF - HKLM\software\mozilla\Firefox\Extensions\\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}: C:\Programme\Crawler\firefox\ [2010.05.29 11:44:26 | 000,000,000 | ---D | M]
[2009.12.03 01:08:25 | 000,000,000 | ---D | M] (ooVoo Toolbar) -- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\7ginmzg9.Standard-Benutzer\extensions\{99E00A4C-D35E-11DD-BA95-9B6A56D89593}
[2009.12.03 01:08:28 | 000,000,000 | ---D | M] (ooVoo Toolbar) -- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\o693xrlf.test\extensions\{99E00A4C-D35E-11DD-BA95-9B6A56D89593}
[2009.12.03 01:08:28 | 000,000,000 | ---D | M] (ooVoo Toolbar) -- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\vslopdez.lolol\extensions\{99E00A4C-D35E-11DD-BA95-9B6A56D89593}
O2 - BHO: () - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll (Crawler.com)
O2 - BHO: (ooVoo Toolbar) - {A1FB2F9A-D35E-11DD-8935-E46A56D89593} - C:\Programme\oovootb\oovoodx.dll ()
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll File not found
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found
O3 - HKLM\..\Toolbar: (&Crawler Toolbar) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll (Crawler.com)
O3 - HKLM\..\Toolbar: (ooVoo Toolbar) - {A1FB2F9A-D35E-11DD-8935-E46A56D89593} - C:\Programme\oovootb\oovoodx.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (&Crawler Toolbar) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll (Crawler.com)
[2009.08.25 09:32:38 | 000,001,340 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\crawlersrch.bak
[2007.07.26 13:05:16 | 000,001,329 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\crawlersrch.xml
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
:services
:files
:reg
:Commands
[purity]
[emptytemp]
[reboot]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 3

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 4

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Bitte poste in Deiner nächsten Antwort
OTLfix Log
Gmer.txt
Otl.txt

Jack_xD 20.06.2010 13:32
Dazu muss ich sagen das Crawler und oovoo sicher sind. Das eine ist eine Toolbar von einen Spywarescanner und das andere eine Toolbar von einen Messenger. Beide sind deaktiviert. Muss ich jetzt trozdem so vorgehen wie oben beschrieben oder wird eine neue Anleitung erstellt?

Larusso 20.06.2010 14:06
w00t. Malware

Crawler

ooVoo

Nicht alles was SpywareScanner heißt ist auch vertrauenswürdig :crazy:

Jack_xD 20.06.2010 15:26
Ok. Jetzt habe ich aber noch eine wichtige Frage bevor ich weitermache:

Klick auf den Markiere alle Button und klick auf löschen und bestätige mit Ja.

Wirklich ALLES mackieren o_O. Da sind ja lauter Registry Ordner ausgewählt und werden dann doch auch gelöscht oder nicht!?

Larusso 20.06.2010 15:31
willste dir die malware behalten ?

Jack_xD 20.06.2010 19:31
Ne. War ja nur ne Nachfrage.
So. Nach dem OTL Fix wurde keine .txt erstellt.
Die GMER.txt wollte ich saven ging aber nicht. CPU Auslastung bei 100% und das Prog reagierte nichtmehr (Musste PC abstürzen lassen).
Hier nun die restlichen Logs wo gingen:

Larusso 20.06.2010 19:56
Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services
    Shadow SSDT
    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

Jack_xD 13.07.2010 15:38
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/07/13 16:03
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA8D1C000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79D5000 Size: 8192 File Visible: No Signed: -
Status: -

Name: giveio.sys
Image Path: giveio.sys
Address: 0xF7A50000 Size: 1664 File Visible: No Signed: -
Status: -

Name: PCI_PNP1466
Image Path: \Driver\PCI_PNP1466
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA37B4000 Size: 49152 File Visible: No Signed: -
Status: -

Name: speedfan.sys
Image Path: speedfan.sys
Address: 0xF798D000 Size: 5248 File Visible: No Signed: -
Status: -

Name: spkl.sys
Image Path: spkl.sys
Address: 0xF7293000 Size: 995328 File Visible: No Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:\dokumente und einstellungen\alex\anwendungsdaten\skype\etilqs_uwfugjgjxnbqrsaajlbl
Status: Allocation size mismatch (API: 4096, Raw: 0)

Path: c:\dokumente und einstellungen\alex\anwendungsdaten\skype\etilqs_wncurrt91hc4n9kv8vlt
Status: Allocation size mismatch (API: 65536, Raw: 0)

Path: C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Apps\2.0\7VLRYYT0.19J\E82POL89.EP8\manifests\WindowsApplication2.exe.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Apps\2.0\7VLRYYT0.19J\E82POL89.EP8\manifests\WindowsApplication2.exe.manifest
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xa8f18e0e

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xa8f18e04

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xa8f18e13

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xa8f18e1d

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "spkl.sys" at address 0xf72acda4

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "spkl.sys" at address 0xf72ad132

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xa8f18e22

#: 119 Function Name: NtOpenKey
Status: Hooked by "spkl.sys" at address 0xf72940c0

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xa8f18df0

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xa8f18df5

#: 160 Function Name: NtQueryKey
Status: Hooked by "spkl.sys" at address 0xf72ad20a

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "spkl.sys" at address 0xf72ad08a

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xa8f18e2c

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xa8f18e27

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xa8f18e18

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System Address: 0x8a7331f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CREATE]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLOSE]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_READ]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_WRITE]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_EA]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_EA]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLEANUP]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_PNP]
Process: System Address: 0x8a3271f8 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_CREATE]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_CLOSE]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_READ]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_WRITE]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_CLEANUP]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Udfsȅఈ扏济WmiProviderS, IRP_MJ_PNP]
Process: System Address: 0x89bbb500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System Address: 0x8a5ca500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_CREATE]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_CLOSE]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_READ]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_WRITE]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_POWER]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_PNP]
Process: System Address: 0x89bc2500 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System Address: 0x8a4b11f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_CREATE]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_CLOSE]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_POWER]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: ahzydixtȅ瑎獆�最Ȃః瑎てﭐ勘, IRP_MJ_PNP]
Process: System Address: 0x8a4721f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System Address: 0x8a6c61f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System Address: 0x89be91f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System Address: 0x89be91f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89be91f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89be91f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System Address: 0x89be91f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System Address: 0x89be91f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System Address: 0x8a4081f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System Address: 0x89bd31f8 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_CREATE]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_CLOSE]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_READ]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_SHUTDOWN]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_CLEANUP]
Process: System Address: 0x89b4f500 Size: 121

Object: Hidden Code [Driver: Cdfs؅అ瑎獆獐�, IRP_MJ_PNP]
Process: System Address: 0x89b4f500 Size: 121

==EOF==

Larusso 13.07.2010 16:07
Der Thread ist über 2 Wochen alt :rolleyes:

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.
  • Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
    Danach wieder anstellen nicht vergessen!
  • Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
Anwendung
  1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
    Code:
  2. Speichere dies als CFScript.txt auf Deinem Desktop
    .
    http://i266.photobucket.com/albums/i.../CFScriptB.gif
    .
  3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Jack_xD 13.07.2010 18:34
Ist das ein Fehler oder soll in dieser Codebox wirklich nichts stehen :D

Larusso 14.07.2010 19:44
Anwort von mir weg ?-.-

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Larusso 18.07.2010 17:19
Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.

Jack_xD 18.07.2010 18:18
Ja sry hat bisl länger gedauert. Privaten Stress usw.
Combofix Logfile:
Code:
ComboFix 10-07-16.02 - Alex 18.07.2010  18:45:37.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1614 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Alex\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Alex\Desktop\Gräte
c:\dokumente und einstellungen\Alex\Desktop\Gräte

.
(((((((((((((((((((((((  Dateien erstellt von 2010-06-18 bis 2010-07-18  ))))))))))))))))))))))))))))))
.

2010-07-16 22:15 . 2010-07-16 22:16        --------        d-----w-        c:\programme\QuickTime
2010-07-16 22:15 . 2010-07-16 22:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-07-03 08:49 . 2010-07-03 08:50        --------        d-----w-        c:\programme\ICQ7.2
2010-06-28 20:38 . 2010-06-28 20:38        --------        d-----w-        c:\programme\Gemeinsame Dateien\PCSuite
2010-06-28 20:37 . 2010-06-28 20:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\Nokia
2010-06-28 20:35 . 2008-08-26 08:26        18816        ----a-w-        c:\windows\system32\drivers\pccsmcfd.sys
2010-06-28 20:35 . 2010-06-28 20:35        --------        d-----w-        c:\programme\PC Connectivity Solution
2010-06-28 20:35 . 2010-02-26 12:32        8192        ----a-w-        c:\windows\system32\drivers\usbser_lowerfltj.sys
2010-06-28 20:35 . 2010-02-26 12:32        8192        ----a-w-        c:\windows\system32\drivers\usbser_lowerflt.sys
2010-06-28 20:35 . 2010-02-26 12:32        22528        ----a-w-        c:\windows\system32\drivers\ccdcmbo.sys
2010-06-28 20:35 . 2010-02-26 12:32        662016        ----a-w-        c:\windows\system32\nmwcdcocls.dll
2010-06-28 20:35 . 2010-02-26 12:32        18176        ----a-w-        c:\windows\system32\drivers\ccdcmb.sys
2010-06-28 20:35 . 2010-02-26 12:19        1461992        ----a-w-        c:\windows\system32\wdfcoinstaller01009.dll
2010-06-26 20:04 . 2010-06-26 20:05        --------        d-----w-        c:\programme\Soldier of Fortune II - SP Demo
2010-06-25 13:46 . 2010-06-25 13:46        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-06-25 13:46 . 2010-04-12 15:29        411368        ----a-w-        c:\windows\system32\deployJava1.dll
2010-06-20 15:02 . 2010-06-20 15:02        --------        d-----w-        C:\_OTL
2010-06-20 14:17 . 2010-06-20 14:17        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\oovootb
2010-06-20 14:15 . 2010-06-25 13:40        --------        d-----w-        c:\programme\VS Revo Group
2010-06-20 13:57 . 2010-06-20 13:57        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-18 17:08 . 2009-06-13 17:41        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\Skype
2010-07-18 17:07 . 2009-06-13 17:47        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\skypePM
2010-07-18 17:04 . 2009-06-13 13:11        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\ICQ
2010-07-17 12:12 . 2010-06-05 23:01        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\SA-MP Audio Plugin
2010-07-16 11:14 . 2009-06-13 20:35        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\Winamp
2010-07-16 11:12 . 2009-06-13 20:35        --------        d-----w-        c:\programme\Winamp
2010-07-16 11:11 . 2009-12-18 12:37        --------        d-----w-        c:\programme\Winamp Detect
2010-07-13 21:01 . 2008-04-14 12:00        81274        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-13 21:01 . 2008-04-14 12:00        450600        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-13 12:51 . 2009-12-20 20:22        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-12 10:11 . 2010-05-18 17:23        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\RadioRipper
2010-07-06 13:47 . 2009-08-22 15:31        1        ----a-w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-03 15:29 . 2009-11-21 15:04        165232        ---ha-w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
2010-07-03 11:20 . 2009-06-13 18:01        --------        d-----w-        c:\programme\ooVoo
2010-07-03 08:50 . 2009-06-13 09:33        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-30 14:27 . 2010-01-03 20:37        --------        d-----w-        c:\programme\TeamSpeak 3 Client
2010-06-29 11:44 . 2010-06-29 11:44        0        ---ha-w-        c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_09_00.Wdf
2010-06-29 11:44 . 2010-06-29 11:44        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_user_01_09_00.Wdf
2010-06-29 11:42 . 2010-06-29 11:42        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01009.Wdf
2010-06-29 11:42 . 2010-06-29 11:42        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-06-28 20:34 . 2009-06-17 16:20        --------        d-----w-        c:\programme\Nokia
2010-06-28 20:33 . 2010-06-28 20:33        95232        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\pcswpcsi.exe
2010-06-28 20:33 . 2010-06-28 20:33        8192        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstCCD.exe
2010-06-28 20:33 . 2010-06-28 20:33        61440        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-06-28 20:33 . 2010-06-28 20:33        10240        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Installer\CommonCustomActions\UninstPCS.exe
2010-06-28 20:33 . 2010-06-28 20:34        36426336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger.exe
2010-06-28 20:33 . 2009-06-17 16:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-06-26 15:15 . 2010-04-12 18:11        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\gtk-2.0
2010-06-25 13:46 . 2010-06-25 13:46        0        ----a-w-        c:\windows\system32\RENC1.tmp
2010-06-25 13:46 . 2010-06-25 13:46        0        ----a-w-        c:\windows\system32\RENC0.tmp
2010-06-25 13:46 . 2010-06-25 13:46        0        ----a-w-        c:\windows\system32\RENBF.tmp
2010-06-25 13:46 . 2009-11-21 11:22        --------        d-----w-        c:\programme\Java
2010-06-24 18:41 . 2009-11-17 22:17        --------        d-----w-        c:\programme\SpeedFan
2010-06-14 14:31 . 2009-06-13 09:09        744448        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-12 21:19 . 2009-06-14 16:25        --------        d-----w-        c:\programme\Rockstar Games
2010-06-10 17:54 . 2010-06-10 17:47        --------        d-----w-        c:\programme\Audacity
2010-06-09 19:06 . 2010-06-09 19:06        345518        ----a-w-        c:\windows\uninstall Piaggio1.exe
2010-06-09 19:06 . 2010-06-09 19:06        12704579        ----a-w-        c:\windows\Piaggio1.scr
2010-06-09 19:02 . 2010-06-09 19:02        12748517        ----a-w-        c:\windows\Piaggioa.scr
2010-06-03 20:24 . 2009-06-13 12:20        32584        ----a-w-        c:\dokumente und einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-03 20:24 . 2010-06-03 20:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2010-06-03 20:24 . 2009-06-13 12:20        --------        d-----w-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\ATI
2010-06-03 19:33 . 2010-06-03 19:33        --------        d-----w-        c:\programme\ATI
2010-06-03 19:25 . 2010-06-03 19:25        10134        ----a-r-        c:\dokumente und einstellungen\Alex\Anwendungsdaten\Microsoft\Installer\{A778A787-08A4-4089-CB68-02A9737DE532}\ARPPRODUCTICON.exe
2010-06-03 19:24 . 2009-06-13 11:59        --------        d-----w-        c:\programme\ATI Technologies
2010-06-03 19:03 . 2009-11-25 20:05        --------        d-----w-        c:\programme\Microsoft Silverlight
2010-06-03 16:55 . 2010-06-03 16:55        --------        d-----w-        c:\programme\MSBuild
2010-06-03 16:54 . 2010-06-03 16:54        --------        d-----w-        c:\programme\Reference Assemblies
2010-06-02 22:27 . 2010-06-02 22:27        --------        d-----w-        c:\programme\HD Tune
2010-06-01 13:12 . 2010-06-01 13:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-06-01 11:20 . 2010-06-01 11:20        --------        d-----w-        c:\programme\Tunatic
2010-05-31 11:34 . 2010-05-21 11:39        --------        d-----w-        c:\programme\No23 Recorder
2010-05-30 18:01 . 2010-05-30 18:01        --------        d-----w-        c:\programme\Driver Cleaner Pro
2010-05-30 17:35 . 2010-01-24 15:34        1324        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-05-18 18:28 . 2010-05-18 18:28        100368        ----a-w-        c:\windows\system32\drivers\VBoxNetAdp.sys
2010-05-18 18:28 . 2010-05-21 14:37        142864        ----a-w-        c:\windows\system32\drivers\VBoxDrv.sys
2010-05-18 18:28 . 2010-05-21 14:37        41744        ----a-w-        c:\windows\system32\drivers\VBoxUSBMon.sys
2010-05-06 10:31 . 2008-04-14 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2008-04-14 12:00        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2008-04-14 12:00        285696        ----a-w-        c:\windows\system32\atmfd.dll
2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . E7EF7580241236552C7114FC71166CB6 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 52\axcmd.exe" [2009-04-24 203416]
"ICQ"="c:\programme\ICQ7.2\ICQ.exe" [2010-07-03 133368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-25 18789408]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_2008\TrayServer.exe" [2008-01-17 90112]
"TPPOLL"="c:\programme\TOPRO\TPPOLL.EXE" [2005-03-02 24576]
"LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-05-31 886272]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Alex\Startmen\Programme\Autostart\
Verknpfung mit RTHDCPL.lnk - c:\programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe [2010-1-24 18789408]

c:\dokumente und einstellungen\Alex\Startmen\Programme\Autostart\
Verknpfung mit RTHDCPL.lnk - c:\programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe [2010-1-24 18789408]

c:\dokumente und einstellungen\Alex\Startmen\Programme\Autostart\
Verknpfung mit RTHDCPL.lnk - c:\programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe [2010-1-24 18789408]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Ralink Wireless Utility.lnk - c:\programme\RALINK\Common\RaUI.exe [2009-6-13 614400]

c:\dokumente und einstellungen\Alex\Startmen\Programme\Autostart\
Verknpfung mit RTHDCPL.lnk - c:\programme\Realtek\Audio\Drivers\WDM\RTHDCPL.exe [2010-1-24 18789408]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\ooVoo\\ooVoo.exe"=
"c:\\Dokumente und Einstellungen\\Alex\\Eigene Dateien\\samp02Xserver.win32\\samp-server.exe"=
"c:\\Dokumente und Einstellungen\\Alex\\Eigene Dateien\\Backup samp02Xserver.win32\\samp02Xserver.win32\\samp-server.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\DKSpeak.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Nero\\Nero 9\\Nero StartSmart\\NeroStartSmart.exe"=
"c:\\Dokumente und Einstellungen\\Alex\\Eigene Dateien\\samp03asvr_R4_win32\\samp-server.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Dokumente und Einstellungen\\Alex\\Eigene Dateien\\samp03asvr_R6_win32\\samp-server.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443
"443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443
"37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675
"2074:UDP"= 2074:UDP:DKSpeak UDP
"2074:TCP"= 2074:TCP:DKSpeak TCP

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2009 11:25 135336]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
S2 Ca1528av;SPCA1528 Video Camera Service;c:\windows\system32\drivers\Ca1528av.sys [14.05.2010 13:50 516480]
S2 Ca533av;WWL 401 Video Camera Device;c:\windows\system32\drivers\Ca533av.sys [31.12.2009 00:10 515803]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.01.2010 12:21 1691480]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [25.07.2009 20:26 16512]
S3 Bulk1528;SPCA1528 Still Camera Service;c:\windows\system32\drivers\Bulk1528.sys [14.05.2010 13:50 11648]
S3 CAM1690;USB PC Camera;c:\windows\system32\drivers\cam1690.sys [21.11.2007 17:37 181888]
S3 FCUSB;Freecom Cable II USB Driver;c:\windows\system32\drivers\FCUSB.sys [29.11.2001 13:05 13104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [16.06.2009 13:58 1527900]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [18.05.2010 20:28 100368]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.07.2009 11:36 691696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f5b4c2-5800-11de-be98-806d6172696f}]
\Shell\AutoRun\command - E:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2010-07-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.07\AMVConverter\grab.html
IE: Free YouTube Download - c:\dokumente und einstellungen\Alex\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Alex\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.07\MediaManager\grab.html
IE: Save YouTube Video
IE: Save YouTube Video as MP3
IE: {{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\programme\ICQ7.2\ICQ.exe
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
Trusted Zone: microsoft.com \*.windowsupdate
Trusted Zone: windowsupdate.com
DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} - hxxp://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=icq&c=cb0250c3f2a8f1b7c&browserVersion=7.0
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
FF - ProfilePath - c:\dokumente und einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\lyih958e.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\programme\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - plugin: c:\programme\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\programme\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Streamripper - c:\programme\Streamripper\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-18 19:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-2025429265-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1960408961-2025429265-682003330-1004\Software\SecuROM\License information*]
"datasecu"=hex:f1,b1,5a,f2,25,5b,2e,8a,0c,0f,00,db,cb,5f,d8,0c,c2,29,c5,4a,14,
  e4,dc,29,2f,5c,80,a8,91,c6,b8,50,17,f6,b3,ff,e4,a2,8d,c4,db,93,c5,05,2d,46,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1272)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3968)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\programme\Microsoft Virtual PC\VPCShExH.DLL
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\rundll32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-18  19:15:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-18 17:15

Vor Suchlauf: 14 Verzeichnis(se), 51.761.225.728 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 51.777.835.008 Bytes frei

- - End Of File - - 2D56EB70317148428018F263B2333C3F
--- --- ---

Larusso 18.07.2010 18:41
Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
KillAll::
MIA::
c:\windows\system32\sfcfiles.dll
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hinweis für Mitleser:
Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Jack_xD 20.07.2010 14:39
Noch eine Frage dazu bevor ich beginne. Die sfcfiles.dll ist eine Windows Datei die irgendeine Gültigkeit überprüft. Weshalb muss diese gelöscht werden?

Larusso 20.07.2010 14:58
Wer sagt das die gelöscht wird?

Jack_xD 20.07.2010 16:10
Was bedeutet denn KillAll für Combofix??

Larusso 20.07.2010 20:14
Ich werde zu ComboFix keine Information öffentlich preis geben

Wenn Du ein Problem hast damit,

Anleitung zum Neu aufsetzten

Larusso 25.07.2010 10:09
Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19