Trojaner-Board - Keylogger, Adware und Spyware seit heute

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Keylogger, Adware und Spyware seit heute (https://www.trojaner-board.de/58332-keylogger-adware-spyware-seit-heute.html)

Keylogger, Adware und Spyware seit heute

Hallo erstmal,

habe seit gerade eben ein großes Problem das immer wieder, egal was ich mache, Fehlermeldungen erscheinen. Teilweise sind diese ohne Inhalt, also einfach nur Fenster mit einem OK Button.
Das letzte Programm das ich installiert habe war True Crypt vor 2 Tagen und heute habe ich nur google gequält und massig Bilder gesucht. Wobei ich sagen muss das ich mit Firefox 3 surfe und noscript.

Mein Spybot findet(hat) 3 Fehler gefunden:
1. Fehler während der Überprüfung!: SCKeylogger [15 - $CFAE152C] (TRegExpr(exec): Not Assigned Expression Property) ()
2. Fehler während der Überprüfung!: Synatix.Peppi [1 - $054E88C8] (TRegExpr(exec): Not Assigned Expression Property) ()
3. Fehler während der Überprüfung!: Synatix.Peppi [3 - $623FF72B] (TRegExpr(exec): Not Assigned Expression Property) ()

Spybot hat die Version 1.6.0.31 falls es von Interesse ist.
Habe anschließend mal eScan durchlaufen lassen und folgendes Ergebnis erhalten:
Nagut, irgendwie will das nicht einfügen, markiert > kopiert > einfügen...nichts eingefügt :dummguck:
Jedenfalls stand im Fenster das 2-mal Gain.Gator, ein Trojan Downloader und ein Keylogger gefunden wurde.
Zu guter letzt noch Hijack:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:07:56, on 21.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\avmwlanstick\wlangui.exe

D:\Microsoft IntelliType Pro\itype.exe

D:\Microsoft IntelliPoint\ipoint.exe

D:\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

D:\Microsoft IntelliPoint\dpupdchk.exe

D:\PeerGuardian2\pg2.exe

C:\WINDOWS\system32\ctfmon.exe

D:\a-squared Free\a2service.exe

D:\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

D:\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\AVG7~1\avgamsvr.exe

D:\AVG7~1\avgupsvc.exe

D:\avmwlanstick\WlanNetService.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\oodag.exe

D:\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com

D:\Mozilla\Firefox\firefox.exe

D:\Spybot - Search & Destroy\SpybotSD.exe

C:\WINDOWS\system32\NOTEPAD.EXE

D:\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.christopher-at-home.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - D:\Crawler\Toolbar\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - D:\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AVMWlanClient] D:\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [itype] "D:\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [IntelliPoint] "D:\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [StartCCC] "D:\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [PeerGuardian] D:\PeerGuardian2\pg2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\AVG7~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: h**p://www.world-of-x.com

O15 - Trusted Zone: h**p://*.world-of-x.net

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\Crawler\Toolbar\ctbr.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\a-squared Free\a2service.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\AVG7~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\AVG7~1\avgupsvc.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - D:\avmwlanstick\WlanNetService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Nero 8\InCD\InCDsrv.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - D:\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - D:\Borland\InterBase\bin\ibserver.exe

O23 - Service: InterBase InterClient Server (InterServer) - InterBase - D:\Borland\InterBase\InterClient\bin\interserver.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Nero 8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUPnPRenderer10.exe

O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUpnpService10.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Sandboxie\SbieSvc.exe

O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg
 

--

End of file - 10342 bytes

Hoffentlich könnt ihr mir einen Weg aufzeigen der ohne möglichst ohne Neuinstallation funtkioniert.
Leider kann ich mich heute auch nicht merh melden, [ACHTUNG SPASS]sonst schimpft meine Freundin mit mir[SPASS ZU ENDE]

Wünsche euch jedenfalls noch eine schönen Abend. Bis morgen.

Hallo und :hallo:

Du solltest nur einen Virenscanner mit Hintergrundwächter einsetzen, da sich beide sonst gegenseitig in die Quere kommen und sich so aushebeln können. Obendrauf verbrätst Du Resourcen ohne Ende. Entscheide Dich entweder für AVG oder AntiVir.

Acker diese Punkte für weitere Analysen ab:

A.) Führe dieses MBR-Tool aus und poste die Ausgabe

B.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

C.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

D.) Poste ein neues Hijackthis Logfile.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

E.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Sorry das ich mich jetzt erst wieder melden kann war jetzt 2 Wochen auf Übung...

Nun erstmal Danke für die Bemühung und für die Ausführlichkeit
Zu den Punkten:

A.) MBR

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

B.) Blacklight

Code:

09/09/08 18:43:35 [Info]: BlackLight Engine 1.0.70 initialized

09/09/08 18:43:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)

09/09/08 18:43:36 [Note]: 7019 4

09/09/08 18:43:36 [Note]: 7005 0

09/09/08 18:43:39 [Note]: 7006 0

09/09/08 18:43:39 [Note]: 7011 1552

09/09/08 18:43:39 [Note]: 7035 0

09/09/08 18:43:39 [Note]: 7026 0

09/09/08 18:43:40 [Note]: 7026 0

09/09/08 18:43:41 [Note]: FSRAW library version 1.7.1024

09/09/08 18:47:01 [Note]: 2000 1012

09/09/08 18:47:01 [Note]: 2000 1012

09/09/08 18:48:32 [Note]: 7007 0

und Malwarebytes Antimalware:

Code:

Malwarebytes' Anti-Malware 1.27

Datenbank Version: 1132

Windows 5.1.2600 Service Pack 2
 

09.09.2008 19:09:34

mbam-log-2008-09-09 (19-09-31).txt
 

Scan-Methode: Vollständiger Scan (C:\|G:\|)

Durchsuchte Objekte: 105059

Laufzeit: 15 minute(s), 35 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

C.) Folgt noch.

D.) HijackThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:17:07, on 09.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\Ad-Aware 2008\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Microsoft Office 2008\Office12\GrooveMonitor.exe

D:\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\avmwlanstick\wlangui.exe

D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe

D:\a-squared Free\a2service.exe

D:\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\avmwlanstick\WlanNetService.exe

D:\Bonjour\mDNSResponder.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\svchost.exe

D:\Mozilla\Firefox\firefox.exe

D:\Malwarebytes' Anti-Malware\mbam.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Microsoft Office 2008\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVMWlanClient] D:\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\MICROS~1\Office12\GR99D3~1.DLL

O20 - AppInit_DLLs: acaptuser32.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\a-squared Free\a2service.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware 2008\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - D:\avmwlanstick\WlanNetService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - D:\Delphi\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - D:\Delphi\InterBase\bin\ibserver.exe

O23 - Service: InterBase InterClient Server (InterServer) - InterBase - D:\Delphi\InterBase\InterClient\bin\interserver.exe

O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUPnPRenderer10.exe

O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - D:\WinOnCD 10\Digital Home 10\RoxioUpnpService10.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 9064 bytes

E.) listing8.cmd
File-Upload.net - listing.txt

Habe jetzt auch mal ordentlich aufgeräumt. Allerdings sehe ich gerade das Groove Monitor aktiviert ist, das war aber nicht geplant...

Äh. Combofix hat aber nix mit Tuneup zu tun. CF untersucht verschiedene Bereiche und auch von der Registry und entfernt bekannte Malwaredateien. Als Abschluss gibt es ein aufschlussreiches Logfile, daher wollte ich dass Du CF auch ausführst wie ich es beschrieben hatte. :rolleyes:

Aber nun gut, dann lass Combofix erstmal sein und mach stattdesen ein Logfile mit silentrunners (siehe Signatur). Bitte wieder mit Codetags umschlossen posten.

Code:

O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)

Dieser Service sieht schon etwas merkwürdig aus. Hat aber offensichtlich was mit DirectX zu tun...

Sorry hatte mich verlesen hatte ComboFix mit dem Hinweis über Autorun verbunden.

Habe jetzt mal ComboFix mit folgendem Ergebnis ausgeführt:

Code:

ComboFix 08-09-05.12 - Administrator 2008-09-09 19:55:13.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.616 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\Cfx32.lic

C:\WINDOWS\system32\cfx32.ocx
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-09 bis 2008-09-09  ))))))))))))))))))))))))))))))

.
 

2008-09-09 18:41 . 2008-09-09 18:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-09 18:41 . 2008-09-09 18:41        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2008-09-09 18:41 . 2008-09-08 00:11        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-09 18:41 . 2008-09-08 00:11        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-09 18:05 . 2008-04-27 10:33        765,952        --a------        C:\WINDOWS\system32\xvidcore.dll

2008-09-09 18:05 . 2008-04-27 10:35        180,224        --a------        C:\WINDOWS\system32\xvidvfw.dll

2008-09-09 18:05 . 2007-06-28 18:55        77,824        --a------        C:\WINDOWS\system32\xvid.ax

2008-09-09 17:54 . 2008-09-09 17:54        <DIR>        d---s----        C:\Dokumente und Einstellungen\Administrator\UserData

2008-09-09 17:21 . 2008-06-14 19:57        273,024        ---------        C:\WINDOWS\system32\drivers\bthport.sys

2008-09-09 17:21 . 2008-06-14 19:57        273,024        -----c---        C:\WINDOWS\system32\dllcache\bthport.sys

2008-09-09 17:19 . 2008-09-09 17:40        <DIR>        d--h-----        C:\WINDOWS\$hf_mig$

2008-09-09 17:11 . 2008-09-09 17:11        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\dwhelper

2008-09-03 18:31 . 2008-09-03 18:31        7,680        --ahs----        C:\WINDOWS\Thumbs.db

2008-09-03 17:33 . 2006-04-06 02:06        264,704        -ra------        C:\WINDOWS\system32\drivers\fwlanusb.sys

2008-09-03 17:33 . 2006-04-06 02:06        97,312        -ra------        C:\WINDOWS\system32\drivers\Fwusb1b.bin

2008-09-03 17:33 . 2006-04-06 02:06        55,808        -ra------        C:\WINDOWS\system32\avmadd32.dll

2008-09-03 17:33 . 2006-04-06 02:06        33,792        -ra------        C:\WINDOWS\system32\avmcowlan.dll

2008-09-03 17:33 . 2006-04-06 02:06        5,966        -ra------        C:\WINDOWS\instwcli.inf

2008-09-02 08:45 . 2008-09-02 08:53        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FileZilla

2008-08-31 10:33 . 2008-08-31 10:33        325        --a------        C:\WINDOWS\BkcEmu.ini

2008-08-30 11:23 . 2006-02-20 18:59        85,408        -ra------        C:\WINDOWS\system32\drivers\w810mgmt.sys

2008-08-30 11:22 . 2006-02-20 18:59        94,064        -ra------        C:\WINDOWS\system32\drivers\w810mdm.sys

2008-08-30 11:22 . 2006-02-20 18:59        83,344        -ra------        C:\WINDOWS\system32\drivers\w810obex.sys

2008-08-30 11:22 . 2006-02-20 18:59        8,336        -ra------        C:\WINDOWS\system32\drivers\w810mdfl.sys

2008-08-30 11:22 . 2006-02-20 18:59        6,176        -ra------        C:\WINDOWS\system32\drivers\w810cmnt.sys

2008-08-30 11:22 . 2006-02-20 18:59        6,176        -ra------        C:\WINDOWS\system32\drivers\w810cm.sys

2008-08-30 11:10 . 2006-02-20 18:59        58,288        -ra------        C:\WINDOWS\system32\drivers\w810bus.sys

2008-08-30 11:10 . 2006-02-20 18:59        5,808        -ra------        C:\WINDOWS\system32\drivers\w810whnt.sys

2008-08-30 11:10 . 2006-02-20 18:59        5,808        -ra------        C:\WINDOWS\system32\drivers\w810wh.sys

2008-08-27 20:06 . 1998-04-29 17:52        145,360        -ra------        C:\WINDOWS\system32\WEBPOST.DLL

2008-08-27 20:06 . 1998-04-29 17:52        121,984        -ra------        C:\WINDOWS\system32\CRSWPP.DLL

2008-08-27 20:06 . 1998-04-29 17:52        112,064        -ra------        C:\WINDOWS\system32\WPWIZDLL.DLL

2008-08-27 20:06 . 1998-05-14 17:30        99,008        -ra------        C:\WINDOWS\system32\POSTWPP.DLL

2008-08-27 20:06 . 1998-04-29 17:52        98,960        -ra------        C:\WINDOWS\system32\FTPWPP.DLL

2008-08-27 20:06 . 1998-05-15 15:57        93,456        -ra------        C:\WINDOWS\system32\FPWPP.DLL

2008-08-27 20:06 . 1998-04-29 17:52        50,816        -ra------        C:\WINDOWS\system32\PIPARSE.DLL

2008-08-27 20:06 . 2008-08-30 10:12        602        --a------        C:\WINDOWS\ODBC.INI

2008-08-27 19:56 . 2008-08-27 19:56        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\.borland

2008-08-27 19:17 . 2008-08-27 19:17        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Roxio

2008-08-27 19:13 . 2008-08-27 19:13        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Roxio

2008-08-27 19:08 . 2008-08-27 19:08        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic

2008-08-27 19:07 . 2008-08-27 19:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio

2008-08-27 19:06 . 2008-08-27 19:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Sonic Shared

2008-08-27 19:06 . 2008-08-27 19:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Roxio Shared

2008-08-27 19:06 . 2008-08-27 19:09        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc

2008-08-27 19:06 . 2008-08-27 19:06        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield

2008-08-27 19:05 . 2007-03-12 16:42        3,495,784        --a------        C:\WINDOWS\system32\d3dx9_33.dll

2008-08-27 19:05 . 2007-03-12 16:42        1,123,696        --a------        C:\WINDOWS\system32\D3DCompiler_33.dll

2008-08-27 19:05 . 2007-03-15 16:57        443,752        --a------        C:\WINDOWS\system32\d3dx10_33.dll

2008-08-27 19:04 . 2008-08-27 19:04        <DIR>        d--------        C:\WINDOWS\system32\URTTEMP

2008-08-27 08:12 . 2004-02-22 10:11        719,872        --a------        C:\WINDOWS\system32\devil.dll

2008-08-27 08:12 . 2006-10-07 17:43        502,784        --a------        C:\WINDOWS\x2.64.exe

2008-08-27 08:12 . 2007-05-17 17:30        318,976        --a------        C:\WINDOWS\system32\avisynth.dll

2008-08-27 08:12 . 2005-02-28 13:16        240,128        --a------        C:\WINDOWS\system32\x.264.exe

2008-08-27 08:12 . 2006-04-12 09:47        217,073        --a------        C:\WINDOWS\meta4.exe

2008-08-27 08:12 . 2004-01-25 00:00        70,656        --a------        C:\WINDOWS\system32\yv12vfw.dll

2008-08-27 08:12 . 2004-01-25 00:00        70,656        --a------        C:\WINDOWS\system32\i420vfw.dll

2008-08-27 08:12 . 2006-04-05 08:09        66,560        --a------        C:\WINDOWS\MOTA113.exe

2008-08-27 08:12 . 2005-07-14 12:31        27,648        --a------        C:\WINDOWS\system32\AVSredirect.dll

2008-08-26 19:16 . 2008-09-02 05:52        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Notepad++

2008-08-26 17:39 . 2008-08-26 17:39        34        --a------        C:\WINDOWS\cdplayer.ini

2008-08-26 16:06 . 2008-08-26 16:06        <DIR>        d--hs----        C:\WINDOWS\ftpcache

2008-08-26 15:58 . 2008-08-26 16:01        <DIR>        d--------        C:\WINDOWS\system32\NtmsData

2008-08-26 08:42 . 2008-08-26 08:42        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet

2008-08-26 07:29 . 2008-08-26 07:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink

2008-08-26 07:29 . 2008-08-26 07:29        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink

2008-08-26 06:39 . 1999-10-23 14:41        55,808        ---------        C:\WINDOWS\system32\ActPanel.dll

2008-08-26 06:28 . 2001-11-29 01:50        430,080        --a------        C:\WINDOWS\system32\ibmgr.cpl

2008-08-26 06:28 . 2001-11-29 01:50        376,832        --a------        C:\WINDOWS\system32\gds32.dll

2008-08-26 06:28 . 2001-11-29 01:50        177,152        --a------        C:\WINDOWS\system32\ibinstall.dll

2008-08-26 06:28 . 2001-11-29 01:50        28,672        --a------        C:\WINDOWS\system32\ibxml.dll

2008-08-26 06:27 . 2008-04-07 05:38        45,392        -ra------        C:\WINDOWS\system32\AdobePDF.dll

2008-08-26 06:27 . 2008-04-07 05:38        22,872        -ra------        C:\WINDOWS\system32\AdobePDFUI.dll

2008-08-26 06:21 . 2004-08-03 23:08        26,496        --a--c---        C:\WINDOWS\system32\dllcache\usbstor.sys

2008-08-26 06:17 . 2006-10-26 19:58        30,512        --a------        C:\WINDOWS\system32\mdimon.dll

2008-08-26 06:16 . 2006-10-26 19:56        32,592        --a------        C:\WINDOWS\system32\msonpmon.dll

2008-08-26 06:12 . 2008-08-26 06:15        <DIR>        d--------        C:\WINDOWS\SHELLNEW

2008-08-26 06:12 . 2008-08-29 11:22        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-08-26 06:07 . 2008-09-09 16:50        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\ntsvcfg

2008-08-25 19:16 . 2008-08-25 19:16        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\WINDOWS

2008-08-25 19:16 . 1998-10-29 16:45        306,688        --a------        C:\WINDOWS\IsUninst.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-09 16:41        ---------        d-----w        D:\\Malwarebytes' Anti-Malware

2008-09-09 16:05        ---------        d-----w        D:\\Xvid

2008-09-09 15:30        ---------        d-----w        D:\\MSXML 4.0

2008-09-09 15:05        ---------        d-----w        D:\\a-squared Free

2008-09-09 14:59        ---------        d-----w        D:\\Ad-Aware 2008

2008-09-09 14:58        ---------        d-----w        D:\\Spybot - Search & Destroy

2008-09-09 14:55        ---------        d-----w        D:\\Avira

2008-09-07 14:31        ---------        d-----w        D:\\VirusTotalUploader

2008-09-04 13:41        133,255        ----a-w        D:\\AccessLog.ali

2008-09-04 11:00        ---------        d-----w        D:\\GSpot

2008-09-03 15:33        ---------        d-----w        D:\\avmwlanstick

2008-09-03 03:55        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-09-03 03:50        ---------        d-----w        D:\\FileZilla FTP Client

2008-09-02 03:50        ---------        d-----w        D:\\Notepad++

2008-08-31 08:35        ---------        d-----w        D:\\VR-NetWorld

2008-08-30 18:51        ---------        d-----w        D:\\Phase5

2008-08-30 08:12        ---------        d--h--w        D:\\InstallShield Installation Information

2008-08-29 10:27        ---------        d-----w        D:\\Microsoft AutoRoute

2008-08-27 18:11        ---------        d-----w        D:\\Visual Basic

2008-08-27 18:06        ---------        d-----w        D:\\Web Publish

2008-08-27 18:06        ---------        d-----w        D:\\Visual Basic Extra

2008-08-27 17:09        ---------        d-----w        D:\\WinOnCD 10

2008-08-27 17:06        ---------        d-----w        D:\\SmartSound Software

2008-08-27 17:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield

2008-08-27 07:28        ---------        d-----w        D:\\SUPER

2008-08-26 15:37        ---------        d-----w        D:\\Audiograbber

2008-08-26 15:37        ---------        d-----w        D:\\Audacity

2008-08-26 09:32        ---------        d-----w        D:\\AccessLog

2008-08-26 06:31        ---------        d-----w        D:\\VitualDub

2008-08-26 05:28        ---------        d-----w        D:\\CyberLink

2008-08-26 05:08        ---------        d-----w        D:\\Microsoft Encarta

2008-08-26 05:01        ---------        d-sh--w        D:\\System Volume Information

2008-08-26 04:46        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-08-26 04:39        ---------        d-----w        D:\\Delphi

2008-08-26 04:16        ---------        d-----w        D:\\Microsoft Works

2008-08-26 04:15        ---------        d-----w        D:\\MSBuild

2008-08-26 04:15        ---------        d-----w        D:\\Microsoft Office 2008

2008-08-26 04:14        ---------        d-----w        D:\\Microsoft.NET

2008-08-26 04:13        ---------        d-----w        D:\\Microsoft Visual Studio 8

2008-08-26 04:13        ---------        d-----w        D:\\IDE

2008-08-26 04:12        ---------        d--h--r        D:\\MSOCache

2008-08-25 18:02        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-08-25 17:52        ---------        d-----w        D:\\IsoBuster

2008-08-25 16:51        ---------        d-----w        D:\\QuickTime

2008-08-25 16:51        ---------        d-----w        D:\\Bonjour

2008-08-25 16:47        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Macrovision Shared

2008-08-25 16:32        ---------        d-----w        D:\\IrfanView

2008-08-25 16:32        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc

2008-08-25 16:31        ---------        d-----w        D:\\VideoLAN Client

2008-08-25 16:28        ---------        d-----w        D:\\Mozilla

2008-08-25 16:28        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird

2008-08-25 16:28        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback

2008-08-25 16:21        306,432        ----a-w        C:\WINDOWS\system32\TuneUpDefragService.exe

2008-08-25 16:21        ---------        d-----w        D:\\TuneUp Utilities 2008

2008-08-25 16:21        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-08-25 16:21        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software

2008-08-25 16:21        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software

2008-08-25 16:17        ---------        d-----w        D:\\ClamWin

2008-08-25 16:17        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.clamwin

2008-08-25 16:13        0        ---ha-w        C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2008-08-25 16:13        0        ---ha-w        C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf

2008-08-25 16:10        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-08-25 16:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI

2008-08-25 16:09        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI

2008-08-25 16:05        ---------        d-----w        C:\Programme\Gemeinsame Dateien\SRC Shared

2008-08-25 16:05        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SmarThru4

2008-08-25 15:52        ---------        d-----w        D:\\Alcohol 120

2008-08-25 15:50        715,248        ----a-w        C:\WINDOWS\system32\drivers\sptd.sys

2008-08-25 15:49        ---------        d-sh--w        D:\\RECYCLER

2008-08-25 15:01        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Dienste

2008-07-29 19:10        73,720        ----a-w        C:\WINDOWS\system32\dxva2.dll

2008-07-29 19:10        493,048        ----a-w        C:\WINDOWS\system32\evr.dll

2008-07-29 19:10        26,112        ----a-w        C:\WINDOWS\system32\TsWpfWrp.exe

2008-07-29 18:35        326,160        ----a-w        C:\WINDOWS\system32\PresentationHost.exe

2008-07-29 17:59        781,344        ----a-w        C:\WINDOWS\system32\PresentationNative_v0300.dll

2008-07-29 17:59        43,544        ----a-w        C:\WINDOWS\system32\PresentationHostProxy.dll

2008-07-29 17:59        161,296        ----a-w        C:\WINDOWS\system32\UIAutomationCore.dll

2008-07-29 17:59        105,016        ----a-w        C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll

2008-07-29 17:24        97,800        ----a-w        C:\WINDOWS\system32\infocardapi.dll

2008-07-29 17:24        622,080        ----a-w        C:\WINDOWS\system32\icardagt.exe

2008-07-29 17:24        11,264        ----a-w        C:\WINDOWS\system32\icardres.dll

2008-07-25 09:17        41,984        ----a-w        C:\WINDOWS\system32\netfxperf.dll

2008-07-25 09:16        96,760        ----a-w        C:\WINDOWS\system32\dfshim.dll

2008-07-25 09:16        83,968        ----a-w        C:\WINDOWS\system32\mscories.dll

2008-07-25 09:16        282,112        ----a-w        C:\WINDOWS\system32\mscoree.dll

2008-07-25 09:16        158,720        ----a-w        C:\WINDOWS\system32\mscorier.dll

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-06 12:06        575,488        ------w        C:\WINDOWS\system32\xpsshhdr.dll

2008-07-06 12:06        117,760        ------w        C:\WINDOWS\system32\prntvpt.dll

2008-07-06 12:06        1,676,288        ------w        C:\WINDOWS\system32\xpssvcs.dll

2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-06-11 21:43        111,992        ----a-w        C:\WINDOWS\system32\acaptuser32.dll

2006-05-03 09:06        163,328        --sh--r        C:\WINDOWS\system32\flvDX.dll

2007-02-21 10:47        31,232        --sh--r        C:\WINDOWS\system32\msfDX.dll

2008-03-16 12:30        216,064        --sh--r        C:\WINDOWS\system32\nbDX.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]

"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]

"GrooveMonitor"="D:\Microsoft Office 2008\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"Adobe Acrobat Speed Launcher"="D:\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]

"AVMWlanClient"="D:\avmwlanstick\wlangui.exe" [2006-04-06 1503232]

"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Ptipbmf"="ptipbmf.dll" [2003-06-20 C:\WINDOWS\system32\ptipbmf.dll]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

VR-NetWorld Auftragsprfung.lnk - D:\VR-NetWorld\vrtoolcheckorder.exe [2008-08-30 176128]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 9 (0x9)

"NoRecentDocsNetHood"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=acaptuser32.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i420vfw.dll

"msvideo"= o100vc.dll

"vidc.yv12"= yv12vfw.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Samsung PanelMgr"=C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun

"ClamWin"="D:\ClamWin\bin\ClamTray.exe" --logon

"Acrobat Assistant 8.0"="D:\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

"DMXLauncher"="D:\WinOnCD 10\CinePlayer\DMXLauncher.exe"

"LanguageShortcut"=D:\CyberLink\PowerDVD\Language\Language.exe

"RemoteControl"=D:\CyberLink\PowerDVD\PDVDServ.exe

"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"D:\\Microsoft Office 2008\\Office12\\GROOVE.EXE"=

"D:\\Microsoft Office 2008\\Office12\\ONENOTE.EXE"=

"D:\\Microsoft Office 2008\\Office12\\OUTLOOK.EXE"=

"D:\\CyberLink\\PowerDVD\\PowerDVD.exe"=

"D:\\Bonjour\\mDNSResponder.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
 

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};D:\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51 13560]

R2 RoxWatch10;Roxio Hard Drive Watcher 10;C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe [2007-08-24 166384]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]

R3 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [2000-06-12 140440]

S2 Roxio Upnp Server 10;Roxio Upnp Server 10;D:\WinOnCD 10\Digital Home 10\RoxioUpnpService10.exe [2007-08-24 362992]

S2 RoxLiveShare10;LiveShare P2P Server 10;C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [2007-08-24 309744]

S2 SessionLauncher;SessionLauncher;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe [ ]

S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys [ ]

S3 InterServer;InterBase InterClient Server;D:\Delphi\InterBase\InterClient\bin\interserver.exe [2001-11-29 114176]

S3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;D:\WinOnCD 10\Digital Home 10\RoxioUPnPRenderer10.exe [2007-08-24 72176]

S3 RoxMediaDB10;RoxMediaDB10;C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [2007-08-24 1083888]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-25 306432]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

*Newly Created Service* - MBR

*Newly Created Service* - PROCEXP90

.

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\asbspxmy.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de

FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

FF -: plugin - D:\Adobe\Acrobat 9.0\Acrobat\browser\nppdf32.dll

FF -: plugin - D:\Mozilla\Firefox\plugins\npnul32.dll

FF -: plugin - D:\Mozilla\Firefox\plugins\NPOFF12.DLL

FF -: plugin - D:\Mozilla\Firefox\plugins\nppdf32.dll

FF -: plugin - D:\Mozilla\Firefox\plugins\NPSWF32.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-09 19:56:53

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]

"ImagePath"="\??\D:\CyberLink\PowerDVD\000.fcl"

.

Zeit der Fertigstellung: 2008-09-09 19:58:22

ComboFix-quarantined-files.txt  2008-09-09 17:58:17
 

Pre-Run: 1,919,365,120 Bytes frei

Post-Run: 1,994,067,968 Bytes frei
 

292        --- E O F ---        2008-09-09 15:47:06

und Silentrunner, leider verhindert die Zeichenbegrenzung das posten deshalb http://www.file-upload.net/download-...08.34.txt.html

SessionLauncher steht unter Dienste mit der Beschreibung Sonic, allerding habe ich nicht viel mit Google gefunden. Hab es mal auf Manuell gestellt, mal sehen was sich tut.

Muss für heute auch schluss machen, kann also erst morgen wieder auf Anregungen zur Problembeseitigung reagieren.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\devil.dll

C:\WINDOWS\x2.64.exe

C:\WINDOWS\system32\x.264.exe

C:\WINDOWS\meta4.exe

C:\WINDOWS\system32\Drivers\SSPORT.sys

Laut google erlaubt devill.dll ImageWriter/ImageReader-Befehle in AVS 2.5 und ist ein Entwickler Tool

Code:

 File devil.dll received on 09.10.2008 06:00:56 (CET)Laut

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 0/36 (0%)

Loading server information...

Your file is queued in position: 1.

Estimated start time is between 39 and 56 seconds.

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
 

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:         

        

Antivirus         Version         Last Update         Result

AhnLab-V3        2008.9.6.0        2008.09.09        -

AntiVir        7.8.1.28        2008.09.09        -

Authentium        5.1.0.4        2008.09.10        -

Avast        4.8.1195.0        2008.09.08        -

AVG        8.0.0.161        2008.09.09        -

BitDefender        7.2        2008.09.10        -

CAT-QuickHeal        9.50        2008.09.10        -

ClamAV        0.93.1        2008.09.10        -

DrWeb        4.44.0.09170        2008.09.10        -

eSafe        7.0.17.0        2008.09.09        -

eTrust-Vet        31.6.6080        2008.09.09        -

Ewido        4.0        2008.09.09        -

F-Prot        4.4.4.56        2008.09.09        -

F-Secure        8.0.14332.0        2008.09.10        -

Fortinet        3.112.0.0        2008.09.09        -

GData        19        2008.09.10        -

Ikarus        T3.1.1.34.0        2008.09.10        -

K7AntiVirus        7.10.448        2008.09.09        -

Kaspersky        7.0.0.125        2008.09.10        -

McAfee        5380        2008.09.09        -

Microsoft        1.3903        2008.09.10        -

NOD32v2        3429        2008.09.09        -

Norman        5.80.02        2008.09.09        -

Panda        9.0.0.4        2008.09.09        -

PCTools        4.4.2.0        2008.09.09        -

Prevx1        V2        2008.09.10        -

Rising        20.61.20.00        2008.09.10        -

Sophos        4.33.0        2008.09.10        -

Sunbelt        3.1.1616.1        2008.09.09        -

Symantec        10        2008.09.10        -

TheHacker        6.3.0.8.075        2008.09.06        -

TrendMicro        8.700.0.1004        2008.09.09        -

VBA32        3.12.8.5        2008.09.09        -

ViRobot        2008.9.10.1370        2008.09.10        -

VirusBuster        4.5.11.0        2008.09.09        -

Webwasher-Gateway        6.6.2        2008.09.09        -

Additional information

File size: 719872 bytes

MD5...: d27959321703b70120025a9356e89a7d

SHA1..: f1252382feb6a31a384a840e41e623b72bb3d000

SHA256: 38aed5589e8da0a3b123e754b0c839818627f4fd178df31b556cbb304caefc28

SHA512: e2ebdd5d4d1d29859d6ac0b6290f3f0441b0dd7b520a17ab0df9a89562aca44f

d06811b4e2291ca64b69c878ec50cadcfd71eff75c7bbd79cfe7d3856b83e90b

PEiD..: Armadillo v1.xx - v2.xx

TrID..: File type identification

Windows Screen Saver (39.4%)

Win32 Executable Generic (25.6%)

Win32 Dynamic Link Library (generic) (22.8%)

Generic Win/DOS Executable (6.0%)

DOS Executable Generic (6.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1007851b

timedatestamp.....: 0x4038336a (Sun Feb 22 04:43:22 2004)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x80852 0x80a00 6.69 f711d9f2461c7dbc9ccc0e4b989a8c26

.rdata 0x82000 0x1cc9f 0x1ce00 3.01 ef259c4d5932dc94747e3b08c1e9cff2

.data 0x9f000 0xbfcf0 0xb200 5.54 94430492c09d8b57315901ed71d6fbde

.rsrc 0x15f000 0x1888 0x1a00 1.85 b3e5ac232ee91006bddcf121cd9b838f

.reloc 0x161000 0x52a0 0x5400 6.01 8d3f2fb04a247d8f0e7ce22d1c176357
 

( 3 imports )

> MSVCRT.dll: fgetc, fread, fseek, ftell, fclose, fputc, fwrite, vsprintf, fprintf, _setjmp3, longjmp, strncmp, atoi, _pctype, __mb_cur_max, _isctype, fputs, _vsnprintf, sprintf, strftime, localtime, _tzset, time, strtol, exit, _ftol, fopen, sscanf, getenv, qsort, _CIpow, memcpy, memset, calloc, malloc, fabs, pow, strlen, strcpy, fflush, strtod, floor, realloc, vfprintf, rand, __dllonexit, _onexit, _initterm, _adjust_fdiv, abs, free, strncpy, _iob, memcmp, _fstat, _close, _strnicmp, _stricmp, _read, _write, _lseek, ldexp, frexp, _open, _unlink, _swab, printf

> KERNEL32.dll: FatalAppExitA, GetSystemTime

> USER32.dll: MessageBoxA
 

( 119 exports )

_icalloc@8, iBindImageTemp, iConvertImage, iConvertPal, iCopyPal, iGetFlipped, ialloc, ifree, ilActiveImage, ilActiveLayer, ilActiveMipmap, ilApplyPal, ilApplyProfile, ilBindImage, ilBlit, ilClearColour, ilClearImage, ilClearImage_, ilCloneCurImage, ilCloseImage, ilClosePal, ilCompressFunc, ilConvertBuffer, ilConvertImage, ilConvertPal, ilCopyImage, ilCopyImageAttr, ilCopyImage_, ilCopyPixels, ilCreateSubImage, ilDefaultImage, ilDeleteImages, ilDisable, ilEnable, ilFormatFunc, ilGenImages, ilGetAlpha, ilGetBoolean, ilGetBooleanv, ilGetBppFormat, ilGetBppPal, ilGetBppType, ilGetClear, ilGetCurImage, ilGetCurName, ilGetDXTCData, ilGetData, ilGetError, ilGetInteger, ilGetIntegerv, ilGetLumpPos, ilGetPalBaseType, ilGetPalette, ilGetString, ilGetTypeBpc, ilHint, ilInit, ilIsDisabled, ilIsEnabled, ilIsImage, ilIsValid, ilIsValidF, ilIsValidL, ilIsValidPal, ilKeyColour, ilLoad, ilLoadData, ilLoadDataF, ilLoadDataL, ilLoadF, ilLoadFromJpegStruct, ilLoadImage, ilLoadL, ilLoadPal, ilNewImage, ilNextPower2, ilOriginFunc, ilOverlayImage, ilPopAttrib, ilPushAttrib, ilRegisterFormat, ilRegisterLoad, ilRegisterMipNum, ilRegisterNumImages, ilRegisterOrigin, ilRegisterPal, ilRegisterSave, ilRegisterType, ilRemoveLoad, ilRemoveSave, ilReplaceCurImage, ilResetMemory, ilResetRead, ilResetWrite, ilResizeImage, ilSave, ilSaveData, ilSaveF, ilSaveFromJpegStruct, ilSaveImage, ilSaveL, ilSavePal, ilSetCurImage, ilSetData, ilSetDuration, ilSetError, ilSetInteger, ilSetMemory, ilSetPal, ilSetPixels, ilSetRead, ilSetString, ilSetWrite, ilShutDown, ilTexImage, ilTexImage_, ilTexSubImage_, ilTypeFromExt, ilTypeFunc

x2.64.exe im WIndows und system32 Order + die meta4.exe scheinen laut google zu Super 2008 zu gehören.
Windows Order:

Code:

File x2.64.exe received on 09.10.2008 06:07:13 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 3/36 (8.34%)

Loading server information...

Your file is queued in position: ___.

Estimated start time is between ___ and ___ .

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
 

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:         

        

Antivirus         Version         Last Update         Result

AhnLab-V3        2008.9.6.0        2008.09.09        -

AntiVir        7.8.1.28        2008.09.09        -

Authentium        5.1.0.4        2008.09.10        -

Avast        4.8.1195.0        2008.09.08        -

AVG        8.0.0.161        2008.09.09        -

BitDefender        7.2        2008.09.10        -

CAT-QuickHeal        9.50        2008.09.10        (Suspicious) - DNAScan

ClamAV        0.93.1        2008.09.10        -

DrWeb        4.44.0.09170        2008.09.10        -

eSafe        7.0.17.0        2008.09.09        Suspicious File

eTrust-Vet        31.6.6080        2008.09.09        -

Ewido        4.0        2008.09.09        -

F-Prot        4.4.4.56        2008.09.09        -

F-Secure        8.0.14332.0        2008.09.10        -

Fortinet        3.112.0.0        2008.09.09        -

GData        19        2008.09.10        -

Ikarus        T3.1.1.34.0        2008.09.10        -

K7AntiVirus        7.10.448        2008.09.09        -

Kaspersky        7.0.0.125        2008.09.10        -

McAfee        5380        2008.09.09        -

Microsoft        1.3903        2008.09.10        -

NOD32v2        3429        2008.09.09        -

Norman        5.80.02        2008.09.09        -

Panda        9.0.0.4        2008.09.09        -

PCTools        4.4.2.0        2008.09.09        -

Prevx1        V2        2008.09.10        -

Rising        20.61.20.00        2008.09.10        -

Sophos        4.33.0        2008.09.10        -

Sunbelt        3.1.1616.1        2008.09.09        Trojan.Win32.Packed.gen (v)

Symantec        10        2008.09.10        -

TheHacker        6.3.0.8.075        2008.09.06        -

TrendMicro        8.700.0.1004        2008.09.09        -

VBA32        3.12.8.5        2008.09.09        -

ViRobot        2008.9.10.1370        2008.09.10        -

VirusBuster        4.5.11.0        2008.09.09        -

Webwasher-Gateway        6.6.2        2008.09.09        -

Additional information

File size: 502784 bytes

MD5...: ce6975d1530ef9239b33d05d4ace1448

SHA1..: a5a37925e10ed8365f6c9b80088bc2c070715515

SHA256: f95d95e55bfb1cbae65421ff1c8200e3aae4250dcf2be4b2137d4018bf6f1fca

SHA512: 1cbbe3f94f572262aa00dd719a19aa84224658dfae596e163bbc7be29460d4d8

29259067a440a275727b80fdce973268d7fa12a1838bfa270e55156259b278c3

PEiD..: UPX-Scrambler RC v1.x

TrID..: File type identification

Win32 EXE Yoda's Crypter (56.9%)

Win32 Executable Generic (18.2%)

Win32 Dynamic Link Library (generic) (16.2%)

Generic Win/DOS Executable (4.2%)

DOS Executable Generic (4.2%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x5423cf

timedatestamp.....: 0x4518fa75 (Tue Sep 26 10:01:25 2006)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

rr01 0x1000 0xc7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

rr02 0xc8000 0x7b000 0x7a600 7.92 ded44b066367f8f80ee26a8ea3f01b89

rr03 0x143000 0x1000 0x200 1.91 e074104051a965d07d32da67976dcc3a
 

( 3 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> MSVCRT.dll: pow

> WINMM.dll: timeGetTime
 

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=ce6975d1530ef9239b33d05d4ace1448

packers (Kaspersky): PE_Patch, UPX

System32 Ordner:

Code:

 File x.264.exe received on 09.10.2008 06:19:44 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 1/36 (2.78%)

Loading server information...

Your file is queued in position: ___.

Estimated start time is between ___ and ___ .

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
 

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:         

        

Antivirus         Version         Last Update         Result

AhnLab-V3        2008.9.6.0        2008.09.09        -

AntiVir        7.8.1.28        2008.09.09        -

Authentium        5.1.0.4        2008.09.10        -

Avast        4.8.1195.0        2008.09.08        -

AVG        8.0.0.161        2008.09.09        -

BitDefender        7.2        2008.09.10        -

CAT-QuickHeal        9.50        2008.09.10        -

ClamAV        0.93.1        2008.09.10        -

DrWeb        4.44.0.09170        2008.09.10        -

eSafe        7.0.17.0        2008.09.09        Suspicious File

eTrust-Vet        31.6.6080        2008.09.09        -

Ewido        4.0        2008.09.09        -

F-Prot        4.4.4.56        2008.09.09        -

F-Secure        8.0.14332.0        2008.09.10        -

Fortinet        3.112.0.0        2008.09.09        -

GData        19        2008.09.10        -

Ikarus        T3.1.1.34.0        2008.09.10        -

K7AntiVirus        7.10.448        2008.09.09        -

Kaspersky        7.0.0.125        2008.09.10        -

McAfee        5380        2008.09.09        -

Microsoft        1.3903        2008.09.10        -

NOD32v2        3429        2008.09.09        -

Norman        5.80.02        2008.09.09        -

Panda        9.0.0.4        2008.09.09        -

PCTools        4.4.2.0        2008.09.09        -

Prevx1        V2        2008.09.10        -

Rising        20.61.20.00        2008.09.10        -

Sophos        4.33.0        2008.09.10        -

Sunbelt        3.1.1616.1        2008.09.09        -

Symantec        10        2008.09.10        -

TheHacker        6.3.0.8.075        2008.09.06        -

TrendMicro        8.700.0.1004        2008.09.09        -

VBA32        3.12.8.5        2008.09.09        -

ViRobot        2008.9.10.1370        2008.09.10        -

VirusBuster        4.5.11.0        2008.09.09        -

Webwasher-Gateway        6.6.2        2008.09.09        -

Additional information

File size: 240128 bytes

MD5...: 5fdd7d827c1cc58567367d03d24548ce

SHA1..: 9937882f96f025991634b2833c5f4bcaef70beb2

SHA256: fb38f3faf93a90cfe0b9f0c0d9317eac12c2ccedc37e3058175b6e67598e2b91

SHA512: fe03478d08a06d5aef21a76027e59d2af64e215f753988f7fb3d28f1bc1e275e

fe0d40b635700e16495dc3085d7003eca58e5ef4c7a394f9a77ebcd10e3a1cd3

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification

UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x4fd0f0

timedatestamp.....: 0x422343d4 (Mon Feb 28 16:16:20 2005)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0xc2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0xc3000 0x3b000 0x3a400 7.89 e48e6951c44a76c049967dc96482543b

UPX2 0xfe000 0x1000 0x200 1.41 1f7725eb8b599d9111fe0eb839e1a6d3
 

( 2 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> WS2_32.dll: -
 

( 0 exports )

packers (F-Prot): UPX

packers (Kaspersky): UPX

Code:

 File meta4.exe received on 09.10.2008 06:08:46 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 4/36 (11.12%)

Loading server information...

Your file is queued in position: 1.

Estimated start time is between 39 and 56 seconds.

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
 

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:         

        

Antivirus         Version         Last Update         Result

AhnLab-V3        2008.9.6.0        2008.09.09        -

AntiVir        7.8.1.28        2008.09.09        -

Authentium        5.1.0.4        2008.09.10        -

Avast        4.8.1195.0        2008.09.08        -

AVG        8.0.0.161        2008.09.09        -

BitDefender        7.2        2008.09.10        -

CAT-QuickHeal        9.50        2008.09.10        (Suspicious) - DNAScan

ClamAV        0.93.1        2008.09.10        -

DrWeb        4.44.0.09170        2008.09.10        -

eSafe        7.0.17.0        2008.09.09        Suspicious File

eTrust-Vet        31.6.6080        2008.09.09        -

Ewido        4.0        2008.09.09        -

F-Prot        4.4.4.56        2008.09.09        -

F-Secure        8.0.14332.0        2008.09.10        -

Fortinet        3.112.0.0        2008.09.09        -

GData        19        2008.09.10        -

Ikarus        T3.1.1.34.0        2008.09.10        -

K7AntiVirus        7.10.448        2008.09.09        -

Kaspersky        7.0.0.125        2008.09.10        -

McAfee        5380        2008.09.09        -

Microsoft        1.3903        2008.09.10        -

NOD32v2        3429        2008.09.09        -

Norman        5.80.02        2008.09.09        -

Panda        9.0.0.4        2008.09.09        Suspicious file

PCTools        4.4.2.0        2008.09.09        -

Prevx1        V2        2008.09.10        -

Rising        20.61.20.00        2008.09.10        -

Sophos        4.33.0        2008.09.10        -

Sunbelt        3.1.1616.1        2008.09.09        -

Symantec        10        2008.09.10        -

TheHacker        6.3.0.8.075        2008.09.06        -

TrendMicro        8.700.0.1004        2008.09.09        -

VBA32        3.12.8.5        2008.09.09        -

ViRobot        2008.9.10.1370        2008.09.10        -

VirusBuster        4.5.11.0        2008.09.09        -

Webwasher-Gateway        6.6.2        2008.09.09        Win32.Malware.gen (suspicious)

Additional information

File size: 217073 bytes

MD5...: 67f51b1a82fb11bbb9d486f7ce41cd35

SHA1..: 47c3c04a031a21c118ef34e8c29db8beddcd38f1

SHA256: 7148362f350c430419c1e6df79a526d440438fe71c14cb386fb967292441239d

SHA512: 539cf538db92f48692a54e8da17077043542721b7eb8f5d1f81e55a4768b4cf7

b8043d056b9fb4f4edc7d248b2af780da44492b21de0e460232c071548c32eab

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification

Win32 EXE Yoda's Crypter (56.8%)

Win32 Executable Generic (18.2%)

Win32 Dynamic Link Library (generic) (16.2%)

Generic Win/DOS Executable (4.2%)

DOS Executable Generic (4.2%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x4ca540

timedatestamp.....: 0x3f624be0 (Fri Sep 12 22:42:40 2003)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x99000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.data 0x9a000 0x31000 0x30800 7.64 6ce4ec47baa8be574bc676d1d1289646

.rdata 0xcb000 0x1000 0x200 1.46 d221ad615082a40dbddfbb1887007f98
 

( 2 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> msvcrt.dll: _iob
 

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=67f51b1a82fb11bbb9d486f7ce41cd35

packers (Kaspersky): UPX

packers (F-Prot): UPX

SSPORT.sys habe ich heute noch nicht gefunden. Laut Google ist das ein Treiber von Samsung und ich habe zum einen, einen Samsung Monitor, der allerdings ohne Samsung Software zu installieren funktioniert und einen Samsung Drucker.

Also, wirkliche Funde sind bisher m.E. nicht aufgetaucht. :confused:

Zitat:

Das letzte Programm das ich installiert habe war True Crypt vor 2 Tagen und heute habe ich nur google gequält und massig Bilder gesucht. Wobei ich sagen muss das ich mit Firefox 3 surfe und noscript.

TrueCrypt deaktiviert m.W. standardmäßig die Auslagerungsdatei, jedenfalls hatte ich diesen Haken im Setup vor ein paar Tagen aktiviert gesehen im Setup. Können daher Probleme entstehen? Überprüf die Windows-Auslagerungsdatei. Hat Windows schonmal gemeckert wegen zu wenig virtuellem Arbeitsspeicher?
Hatte schon die merkwürdigsten Fehler / Fehlfunktionem wg deaktiviertem pagefile erlebt :crazy:

Was ist mit den meldungen wg malware?