Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vundo.Gen Trojaner wie löschen?? (https://www.trojaner-board.de/73005-vundo-gen-trojaner-loeschen.html)

a13x 11.05.2009 11:08
Vundo.Gen Trojaner wie löschen??
 
Hallo,

ich habe schon die suche benutzt aber entweder ihr sprecht eine andere sprache oder ich versteh davon einfach überhaupt nichts. :(
Gestern Abend hab ich mein PC eingeschalten und sofort kam AntiVir mit 16 Funden "Vundo.Gen". Wenn der PC normal hochfährt kann man nichts mehr machen. Hab ihn jetzt im abgesicherten Modus gebootet und bin verzweifelt auf der suche nach der Lösung des Problems, könnt ihr mir irgendwie weiterhelfen?

Chris4You 11.05.2009 11:34
Hi,

arbeite bitte alles was unter dem Link "Erstbeitrag" steht im abgesicherten Modus ab (s. Signatur)...
Zusätzlich:
SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

a13x 11.05.2009 12:50
Habe jetzt alle Tests soweit gemacht.

Als erstes den CCleaner, dann Anti-Maleware und schliesslich HJT. Im Abgesicherten Modus funktioniert bei mir das Internet nur etwa 10 Minuten, nach dem Neustart gings wieder. Jetzt nachdem ich alles hatte hab ich einen letzten Neustart gemacht. Allerdings ist der PC nicht mehr hochgefahren nach dem klick auf den abgesicherten Modus hatte ich auch das Windows Betriebssystem nicht mehr zur auswahl?? Hab nocheinmal normal gebootet und die Datenträger wurden auf ihre Konsistenz geprüft? Nachdem hat sich der PC nochmal gebootet hat (normal) war alles wieder in Ordnung.

Will mir trotzdem 100% sicher sein, also hier meine logs.


Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2108
Windows 5.1.2600 Service Pack 3

11.05.2009 12:16:44
mbam-log-2009-05-11 (12-16-44).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 195714
Laufzeit: 14 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 8
Infizierte Dateien: 44

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\zotemiso.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{34e5a7a2-ea4b-46e9-9d66-dd423e1017cc} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{34e5a7a2-ea4b-46e9-9d66-dd423e1017cc} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2dda3201767c34b46a72671d26d39178 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\2dda3201767c34b46a72671d26d39178 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4eb29a50684e23f4e9d65186fa814342 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8baf7ca6202db60478328f0ee1eef1ee (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8f92bca0d10d5ad42ac7b8a272b92649 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\a7a85540b6b4ac64db79ab454d0c0f9c (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\d722d4cbe0a53d44c975cf912bb7deba (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{34e5a7a2-ea4b-46e9-9d66-dd423e1017cc} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarebot_is1 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AntispywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\noyiwahube (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarebot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\zotemiso.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\zotemiso.dll  -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Settings (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\bivegedu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\udegevib.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\javinete.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etenivaj.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vuwilamu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\umaliwuv.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bafuvisi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zotemiso.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Programme\AntispywareBot\SpyCleaner.dll (Rogue.SpyCleaner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP343\A0123567.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP345\A0123687.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP345\A0123688.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP345\A0123689.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP348\A0124824.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP348\A0124825.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP348\A0124828.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0127798.rbf (Rogue.SpyCleaner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133348.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133349.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\feyiloto.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sujegaru.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vutifumo.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\rs.dat (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Log\2009 May 11 - 01_21_38 AM_315.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Settings\ScanResults.pie (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\AntispywareBot.exe (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\AntispywareBot.url (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\DataBase.ref (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\license.rtf (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\TCL.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\unins000.dat (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\unins000.exe (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\vistaCPtasks.xml (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\zlib.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareBot.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\AntispywareBot Scheduled Scan.job (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\piralume.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fagometo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dukotova.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

HJT


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:52, on 11.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O20 - AppInit_DLLs: c:\windows\system32\sowemame.dll,C:\WINDOWS\system32\zotemiso.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8092 bytes

Chris4You 11.05.2009 13:27
Hi,

hier der erste Teile aus dem HJ-Log, bevor sich das Teil wieder festsetzt:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|noyiwahube
 
Files to delete:
C:\WINDOWS\system32\gefuvura.dll
c:\windows\system32\sowemame.dll
C:\WINDOWS\system32\zotemiso.dll

Folders to delete:
C:\Programme\Save
C:\Programme\BearShare

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
O4 - HKUS\S-1-5-19\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s (User 'LOKALER DIENST')
O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
Chris

a13x 11.05.2009 13:54
Hi,

habe das Programm ausgeführt und anschliessend neu gestartet. Die Log ist zwar unter C:/Avenger gespeichert allerdings als ZIP mit Passwort?

Dann hab ich HJT geöffnet und die Häckchen gesetzt, allerdings war ein Befehl nicht dabei.
Code:
O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s
Danach hab ich HJT geschlossen und AntiVir kam erneut mit der Medlung, Virus gefunden "Vundo.Gen" Dieses mal aber nur einmal, bin dann auf löschen und hab neu gebootet, dann kam nichts mehr.

Mfg

Chris4You 11.05.2009 15:32
Hi,

den Eintrag hat Avenger gekillt...

Was wurde von Avira noch gefunden (und wo)?

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.htm
Führe einen Systemscan durch und poste das Ergebnis!

Mach ein update für MAM und lass es dann auch noch mal laufen...
Wird dann was gefunden, RSIT:

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

a13x 11.05.2009 15:55
Hab die aggressiven Settings eingestellt und gefunden hat Avira folgendes:

Die ersten 4 Einträge waren noch vom letzten Monat, jetzt sind hald noch 100 dazugekommen, alle Vundo. Avira läuft im Moment muss aber bald los, schaffe ich es nicht poste ich morgen das Ergebnis.

Code:
In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\Cache\_CACHE_003_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Desktop\6530\SetupAnyDVD6530.EXE'
wurde ein Virus oder unerwünschtes Programm 'DR/TDSS.TTY.1' [dropper] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\system32\hobolaku.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINDOWS\system32\sowemame.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\WINDOWS\system32\gefuvura.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Durchgeführte Aktion(en):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\noyiwahube.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6d6848.qua' verschoben!

Chris4You 11.05.2009 16:03
Hi,

hochgradig verseucht, besonderst die Meldung mit TDSS ist sehr unschön...

So, Tool runterladen, offline gehen und noch mal alle zwei (MAM&Avira) durchlassen, danach immer noch offline combofix. Es sind Einträge wieder da, die vorher explizit erfolgreich gelöscht wurden, d.h. solange Du online bist und nicht alles erwischt wurde, laden sich die Tierchen selber nach...

Dann kurz online gehen, die Protokolle posten und wieder offline, nur kurz immer zum nachschauen online, am Besten über einen Zweitrechner...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Dann muss ich Dir noch die Frage stellen (da einige, äh interessante Programme erkannt wurden), od Du cracks etc. einsetzt...?

chris

a13x 11.05.2009 16:30
Hi,

du hattest Recht. Hab jetzt wieder den selben Dreck hier wie davor. Aber momentan funktioniert noch alles im normalen boot modus. Hab jetzt alles runtergeladen was ich brauche und geupdatet, Screenshots von deinen posts gemacht und werde die ganzen Scans morgen offline durchführen und die Ergebnisse mit den anderen Rechner posten. Wie lange muss ich denn dann offline bleiben?

Ich benutze eigentlich keine Cracks, spiele eher PS3. Ein freund hat mir mal ein paar Programme und Spiele mit Crack draufgemacht das wars aber schon... Die einzigen Programme die ich im Moment brauche und mit Crack benutze sind Clone u AnyDVD.

mfg

a13x 12.05.2009 12:32
Hi,

hab jetzt Avira und MAM offline durchlaufen lassen und anschliessend RSIT. Avira hat wieder ne Menge gefunden, MAM nur 2 infizierte Dateien.

Anscheiend hat sich der Virus auch gleich mal in das Programm ComboFix eingenistest was dann auch gelöscht wurde. Hab es jetzt nochmal über den anderen Rechner geladen und über USB rüber gezogen. Die Logs poste ich jetzt auch mit dem anderen Rechner. Jetzt noch ComboFix laufen lassen und diese Log noch posten oder?

Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2109
Windows 5.1.2600 Service Pack 3

12.05.2009 12:09:43
mbam-log-2009-05-12 (12-09-43).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 172520
Laufzeit: 58 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133382.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133383.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 12. Mai 2009  11:17

Es wird nach 1385880 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    ALEXANDE-E18C49

Versionsinformationen:
BUILD.DAT    : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 14:57:30
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 13:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 14:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 13:40:42
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 14:58:45
ANTIVIR1.VDF  : 7.1.2.12    3336192 Bytes  11.02.2009 10:01:32
ANTIVIR2.VDF  : 7.1.3.137    1810944 Bytes  30.04.2009 23:43:42
ANTIVIR3.VDF  : 7.1.3.179    202752 Bytes  10.05.2009 23:43:43
Engineversion : 8.2.0.166
AEVDF.DLL    : 8.1.1.1      106868 Bytes  10.05.2009 23:43:47
AESCRIPT.DLL  : 8.1.1.81      385401 Bytes  10.05.2009 23:43:45
AESCN.DLL    : 8.1.1.10      127348 Bytes  06.04.2009 20:54:35
AERDL.DLL    : 8.1.1.3      438645 Bytes  21.11.2008 14:59:18
AEPACK.DLL    : 8.1.3.16      397686 Bytes  10.05.2009 23:43:45
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  27.02.2009 12:15:57
AEHEUR.DLL    : 8.1.0.128    1757559 Bytes  10.05.2009 23:43:44
AEHELP.DLL    : 8.1.2.2      119158 Bytes  27.02.2009 12:15:56
AEGEN.DLL    : 8.1.1.42      348531 Bytes  10.05.2009 23:43:43
AEEMU.DLL    : 8.1.0.9      393588 Bytes  14.10.2008 12:05:56
AECORE.DLL    : 8.1.6.9      176500 Bytes  14.04.2009 20:54:34
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 12:05:56
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 10:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 11:27:58
AVREP.DLL    : 8.0.0.3      155688 Bytes  21.04.2009 11:06:50
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 13:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 10:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 14:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 19:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 14:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 14:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 15:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 15:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 12. Mai 2009  11:17

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '56041' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTxfispi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ctxfihlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLML.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EslWireSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\ComboFix\psexec.cfexe
    [0] Archivtyp: RSRC
    --> Object
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6e4daf.qua' verschoben!
C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a764e12.qua' verschoben!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\Cache\C2152591d01
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a4e7e.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133394.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a5099.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133402.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a509e.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0134078.dll
    [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Themida). Bitte verifizieren Sie den Ursprung dieser Datei.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a50c0.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134404.exe
    [0] Archivtyp: RAR SFX (self extracting)
      --> 32788R22FWJFW\psexec.cfexe
        [1] Archivtyp: RSRC
        --> Object
          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a50e0.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134405.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a50e5.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134406.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a50e9.qua' verschoben!
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134407.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a50ec.qua' verschoben!
C:\WINDOWS\system32\fojawuka.dll.tmp
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a7352d0.qua' verschoben!
C:\WINDOWS\system32\hokegemu.dll.tmp
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a7452d5.qua' verschoben!
C:\WINDOWS\system32\molugivu.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\panasoba.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [WARNUNG]  Die Datei wurde ignoriert.
C:\WINDOWS\system32\pawovuda.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8052ef.qua' verschoben!
Beginne mit der Suche in 'G:\' <Backup>


Ende des Suchlaufs: Dienstag, 12. Mai 2009  12:13
Benötigte Zeit: 56:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  8387 Verzeichnisse wurden überprüft
 315768 Dateien wurden geprüft
    15 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
    13 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 315752 Dateien ohne Befall
  3412 Archive wurden durchsucht
      2 Warnungen
    14 Hinweise
  56041 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

a13x 12.05.2009 12:34
Code:
info.txt logfile of random's system information tool 1.06 2009-05-11 16:13:55

======Uninstall list======

-->"C:\Programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:GER
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EF644C7-1A0D-4B94-9AF5-AD04702094A4}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1EF644C7-1A0D-4B94-9AF5-AD04702094A4}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C229589D-CC1A-43FF-9507-CDED3AB85325}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C229589D-CC1A-43FF-9507-CDED3AB85325}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ECC3C64B-2A22-48C5-857B-E952D7BE64F5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ECC3C64B-2A22-48C5-857B-E952D7BE64F5}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7  /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7  /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CloneDVD2-->"C:\Programme\Slysoft\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Programme\Slysoft\CloneDVD2"
CopperHead-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D6D5CFB3-7095-4073-B6B7-B7E909838C57}\Setup.exe"
Creative Software AutoUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7  /remove
Creative-Audiokonsole-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7  /remove
Creative-Systeminformationen-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7  /remove
Die Sims 2-->G:\Alex\Games\Sims 2\EAUninstall.exe
ESL Wire 0.4.1.1844-->"C:\Programme\EslWire\unins000.exe"
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
FEAR-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2B653229-9854-4989-B780-D978F5F13EAB}\setup.exe" -l0x7  /zU -removeonly
Firebird SQL Server - MAGIX Edition-->C:\Programme\MAGIX\Common\Database\instslct.exe /p
foobar2000 v0.9.5-->"C:\Programme\foobar2000\uninstall.exe"
Free Video to Mp3 Converter version 2.9-->"C:\Programme\DVDVideoSoft\Free Video to Mp3 Converter\unins000.exe"
Free YouTube Download 2.1-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\SETUP.EXE" -l0x7  -removeonly
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HLSW v1.1.5-->"C:\Programme\HLSW\unins000.exe"
Hondata K-Series ECU Editor-->"C:\Programme\KManager\unins000.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
hp deskjet 5100 series-->rundll32 hpzcon08.dll,VendorJettison hp deskjet 5100 series
hp deskjet 5100-->MsiExec.exe /X{FEDA56C4-82F3-46DD-8B50-FC592BBE1C0D}
ICQ  Toolbar-->regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll"
ICQ 5.1-->C:\Programme\ICQLite\ICQLiteUninstall.EXE
ICQ Toolbar-->regsvr32 /u /s "C:\PROGRA~1\ICQTOO~1\toolbaru.dll"
iTunes-->MsiExec.exe /I{41B9E2CF-0B3F-442A-B5B3-592A4A355634}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Kalender-Excel 8.3-->"C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Kalender-Excel\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack - deu-->MsiExec.exe /I{1545207E-C6F3-31D7-9918-BDBB65075FBF}
Microsoft .NET Framework 3.5-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5\setup.exe
Microsoft .NET Framework 3.5-->MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)-->MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.10)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
MyMDb 3.4.1-->C:\Programme\MyMDb\Uninstall.exe
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
Nvidia Omega Drivers v2.169.21 Setup Files-->"C:\WINDOWS\Nvidia Omega Drivers v2.169.21 Uninstall.exe" "/U:C:\Programme\Nvidia Omega Drivers\v2.169.21\Omega Uninstall.xml"
O&O Defrag Professional Edition-->MsiExec.exe /I{53480330-E1D1-41CA-B8F8-7F78644F7F50}
Paint.NET v3.22-->MsiExec.exe /X{96C267DA-0926-4C11-B4E7-4D3EF85130D0}
Protected Music Converter 1.0.0.5-->"C:\Programme\WMA-MP3.com\Protected Music Converter\unins000.exe"
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x0007 -removeonly
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Sound Blaster X-Fi-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18F11181-EA1A-42AE-AF89-4867C7F7A6FA}\SETUP.EXE" -l0x7  /remove
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Starcraft-->C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Uninstall 1.0.0.0-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
VideoLAN VLC media player 0.8.6d-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

=====HijackThis Backups=====

O1 - Hosts: 82.98.231.89 url.adtrgt.com [2009-05-11]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s [2009-05-11]
O4 - HKUS\S-1-5-19\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s (User 'LOKALER DIENST') [2009-05-11]
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net [2009-05-11]
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q== [2009-05-11]

======Hosts File======

127.0.0.1        localhost

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: ZoneAlarm Firewall

======System event log======

Computer Name: ALEXANDE-E18C49
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 17503
Source Name: EventLog
Time Written: 20090401233145.000000+060
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet".

Record Number: 17502
Source Name: Service Control Manager
Time Written: 20090401220702.000000+060
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 17501
Source Name: Service Control Manager
Time Written: 20090401220621.000000+060
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 17500
Source Name: Service Control Manager
Time Written: 20090401220615.000000+060
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 17499
Source Name: Service Control Manager
Time Written: 20090401220615.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: ALEXANDE-E18C49
Event Code: 0
Message:
Record Number: 5
Source Name: gusvc
Time Written: 20090328121226.000000+000
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 4
Source Name: Avira AntiVir
Time Written: 20090328121130.000000+000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ALEXANDE-E18C49
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 3
Source Name: SecurityCenter
Time Written: 20090328121129.000000+000
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 0
Message:
Record Number: 2
Source Name: gusvc
Time Written: 20090328121125.000000+000
Event Type: Informationen
User:

Computer Name: ALEXANDE-E18C49
Event Code: 1
Message:
Record Number: 1
Source Name: Bonjour Service
Time Written: 20090328121124.000000+000
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\Microsoft SQL Server\80\Tools\Binn\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"tvdumpflags"=8
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip

-----------------EOF-----------------

a13x 12.05.2009 12:39
Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Besitzer at 2009-05-12 12:20:59
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 30 GB (61%) free of 50 GB
Total RAM: 2046 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:03, on 12.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\EslWire\service\EslWireSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Programme\Creative\Shared Files\CTSched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Besitzer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7572 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-25 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - C:\PROGRA~1\ICQTOO~1\toolbaru.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe [2007-03-20 36864]
"36X Raid Configurer"=C:\WINDOWS\system32\xRaidSetup.exe [2007-05-25 1953792]
"AudioDrvEmulator"=C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe [2005-11-04 49152]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-05 8523776]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-12-05 81920]
"VolPanel"=C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe [2006-07-13 122880]
"UpdReg"=C:\WINDOWS\UpdReg.EXE [2000-05-11 90112]
"CreativeTaskScheduler"=C:\Programme\Creative\Shared Files\CTSched.exe [2006-01-09 53340]
"CTHelper"=C:\WINDOWS\system32\CTHELPER.EXE [2007-11-12 19456]
"CTxfiHlp"=C:\WINDOWS\system32\CTXFIHLP.EXE [2007-11-12 19968]
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe [2007-05-11 2512392]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe [2009-04-10 5827520]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe [2002-12-17 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe [2006-07-11 3144800]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2008-09-10 289576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2008-09-06 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\razer]
C:\Programme\Razer\CopperHead\razerhid.exe [2005-08-16 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-03-11 24095528]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
G:\Alex\Games\Half-Life 2\\Steam.exe [2008-11-23 1410296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [2007-09-25 132496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
C:\PROGRA~1\Google\GOOGLE~1\GOOGLE~1.EXE [2009-03-25 161776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Explorer"
"C:\WINDOWS\system32\logonui.exe"="C:\WINDOWS\system32\logonui.exe:*:Enabled:logonui"
"C:\WINDOWS\system32\winlogon.exe"="C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\WINDOWS\system32\lsass.exe"="C:\WINDOWS\system32\lsass.exe:*:Enabled:lsass"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
...

a13x 12.05.2009 12:40
...

Code:
======List of files/folders created in the last 1 months======

2009-05-11 16:14:58 ----D---- C:\WINDOWS\ERDNT
2009-05-11 16:14:57 ----D---- C:\ComboFix
2009-05-11 16:14:55 ----A---- C:\WINDOWS\system32\CF5534.exe
2009-05-11 16:14:19 ----D---- C:\Qoobox
2009-05-11 16:13:45 ----D---- C:\rsit
2009-05-11 12:41:14 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-11 12:22:43 ----D---- C:\Programme\Trend Micro
2009-05-11 11:58:07 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-05-11 11:58:02 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-05-11 11:58:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-11 11:55:31 ----A---- C:\WINDOWS\ntbtlog.txt
2009-05-11 11:45:20 ----D---- C:\Programme\CCleaner
2009-05-11 00:42:14 ----SH---- C:\WINDOWS\system32\ifitejul.ini
2009-04-29 17:29:49 ----SH---- C:\WINDOWS\system32\esodohuy.ini
2009-04-27 17:35:49 ----SH---- C:\WINDOWS\system32\egihokem.ini
2009-04-26 15:16:56 ----SH---- C:\WINDOWS\system32\alirojak.ini
2009-04-26 03:16:52 ----SH---- C:\WINDOWS\system32\iwozituj.ini
2009-04-25 01:06:49 ----SH---- C:\WINDOWS\system32\ujakazer.ini
2009-04-15 22:55:35 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-04-15 22:55:30 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-04-15 22:54:10 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-04-15 22:54:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-04-15 22:53:56 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-04-15 22:53:48 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$

======List of files/folders modified in the last 1 months======

2009-05-12 12:17:26 ----D---- C:\WINDOWS\Internet Logs
2009-05-12 12:16:25 ----SD---- C:\WINDOWS\Tasks
2009-05-12 12:16:25 ----D---- C:\WINDOWS\Temp
2009-05-12 12:15:55 ----D---- C:\WINDOWS\system32\drivers
2009-05-12 12:15:55 ----D---- C:\WINDOWS\system32
2009-05-12 12:14:55 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-12 11:11:54 ----D---- C:\WINDOWS\Prefetch
2009-05-12 11:10:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-05-11 16:14:58 ----AD---- C:\WINDOWS
2009-05-11 14:03:10 ----SHD---- C:\WINDOWS\Installer
2009-05-11 14:03:00 ----D---- C:\Programme\Sony
2009-05-11 14:02:51 ----RD---- C:\Programme
2009-05-11 14:02:36 ----RSD---- C:\WINDOWS\assembly
2009-05-11 14:02:22 ----D---- C:\Programme\Mumble
2009-05-11 13:48:00 ----D---- C:\Programme\Mozilla Firefox
2009-05-11 13:29:27 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-05-11 13:29:27 ----D---- C:\Programme\Gemeinsame Dateien
2009-05-11 13:27:53 ----D---- C:\Programme\Adobe
2009-05-11 13:14:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-05-11 11:52:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-11 11:51:18 ----D---- C:\WINDOWS\Debug
2009-05-11 11:51:16 ----D---- C:\WINDOWS\Minidump
2009-05-11 02:17:25 ----D---- C:\WINDOWS\system32\ZoneLabs
2009-05-11 01:54:32 ----D---- C:\Programme\MAGIX
2009-05-11 01:27:55 ----D---- C:\Programme\ICQToolbar
2009-04-30 19:22:18 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2009-04-29 17:31:27 ----D---- C:\WINDOWS\system32\oodag
2009-04-26 15:04:50 ----A---- C:\WINDOWS\NeroDigital.ini
2009-04-26 03:16:46 ----ASH---- C:\WINDOWS\system32\panasoba.exe
2009-04-18 11:32:54 ----SH---- C:\boot.ini
2009-04-18 11:32:54 ----A---- C:\WINDOWS\win.ini
2009-04-18 11:32:54 ----A---- C:\WINDOWS\system.ini
2009-04-16 03:58:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-04-16 03:53:49 ----D---- C:\WINDOWS\system32\wbem
2009-04-16 03:53:48 ----D---- C:\WINDOWS\AppPatch
2009-04-15 22:55:37 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-04-15 22:55:37 ----HD---- C:\WINDOWS\inf
2009-04-15 22:55:22 ----D---- C:\WINDOWS\system32\de-DE
2009-04-15 22:55:22 ----D---- C:\Programme\Internet Explorer
2009-04-15 22:55:13 ----D---- C:\WINDOWS\ie7updates
2009-04-15 22:54:06 ----HD---- C:\WINDOWS\$hf_mig$

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-11-21 75072]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2009-02-17 24232]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2009-04-10 103744]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CT20XUT.DLL;CT20XUT.DLL; C:\WINDOWS\system32\CT20XUT.DLL [2007-11-12 164800]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2007-05-11 504320]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2007-11-12 516352]
R3 CTEXFIFX.DLL;CTEXFIFX.DLL; C:\WINDOWS\system32\CTEXFIFX.DLL [2007-11-12 1317824]
R3 CTHWIUT.DLL;CTHWIUT.DLL; C:\WINDOWS\system32\CTHWIUT.DLL [2007-11-12 67008]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2007-11-12 7680]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2007-11-12 150528]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2007-11-12 86016]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit; C:\WINDOWS\system32\DRIVERS\ESLvnic.sys [2008-04-30 20216]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 ha20x2k;Creative 20X HAL Driver; C:\WINDOWS\system32\drivers\ha20x2k.sys [2007-11-12 1164288]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 lvpopflt;Logitech POP Suppression Filter; C:\WINDOWS\system32\DRIVERS\lvpopflt.sys [2007-10-12 1920920]
R3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\drivers\LVUSBSta.sys [2007-10-12 41752]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-05 7435392]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2007-11-12 120320]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-08-07 98944]
R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 COMMONFX.DLL;COMMONFX.DLL; C:\WINDOWS\system32\COMMONFX.DLL [2007-11-12 92608]
S3 CTAUDFX.DLL;CTAUDFX.DLL; C:\WINDOWS\system32\CTAUDFX.DLL [2007-11-12 546240]
S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-07-13 340704]
S3 CTEAPSFX.DLL;CTEAPSFX.DLL; C:\WINDOWS\system32\CTEAPSFX.DLL [2007-11-12 168384]
S3 CTEDSPFX.DLL;CTEDSPFX.DLL; C:\WINDOWS\system32\CTEDSPFX.DLL [2007-11-12 280512]
S3 CTEDSPIO.DLL;CTEDSPIO.DLL; C:\WINDOWS\system32\CTEDSPIO.DLL [2007-11-12 128960]
S3 CTEDSPSY.DLL;CTEDSPSY.DLL; C:\WINDOWS\system32\CTEDSPSY.DLL [2007-11-12 323520]
S3 CTERFXFX.DLL;CTERFXFX.DLL; C:\WINDOWS\system32\CTERFXFX.DLL [2007-11-12 95168]
S3 CTSBLFX.DLL;CTSBLFX.DLL; C:\WINDOWS\system32\CTSBLFX.DLL [2007-11-12 560576]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 Razerlow;Razer Copperhead Driver; C:\WINDOWS\System32\Drivers\Razerlow.sys [2005-08-09 11372]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 SysInteg;SysInteg; \??\C:\WINDOWS\system32\drivers\SysInteg010.sys []
S3 SysInteg27891;SysInteg27891; \??\C:\WINDOWS\system32\drivers\SysInteg010.sys []
S3 SysInteg32290;SysInteg32290; \??\C:\WINDOWS\system32\drivers\SysInteg010.sys []
S3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-13 12288]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 CTAudSvcService;Creative Audio Service; C:\Programme\Creative\Shared Files\CTAudSvc.exe [2007-10-17 389120]
R2 EslWireService;EslWireService; C:\Programme\EslWire\service\EslWireSrv.exe [2008-04-30 868864]
R2 NVSvc;NVIDIA-OMEGA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-05 155716]
R2 O&O Defrag;O&O Defrag; C:\WINDOWS\system32\oodag.exe [2007-05-11 1050120]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-01-17 66872]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-25 183280]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-09-10 536872]
S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337]
S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

-----------------EOF-----------------

a13x 12.05.2009 12:50
Wenn ich ComboFix starten will kommt die Meldung "Achtung!! ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind:

Avira Antivir
Antivirus und Eindringling Schutzprogramme sind dafuer bekannt, dass sie die Arbeit von ComboFix behindern. Dies kann zu unvorhersehbaren Ergebnissen oder eventuellen PC Schaden fuehren. Bitte deaktiviere diese Scanner, bevor Du auf OK klickst."

Soll ich jetzt Avira deinstall? Der Scanner ist ja immer aktiv oder?

Chris4You 12.05.2009 13:01
Hi,

nein, Avira lässt sich über:
Taskleiste->rechte Maustaste über dem Avirasymbol->AntiVir Guard akvtivieren dort das Häkchen raus, dann sollte er
deaktiviert sein...
Eine Deinstallation ist nicht notwendig!

chris

a13x 12.05.2009 14:00
Hab ComboFix jetzt durchlaufen lassen, dauerte etwa 10minuten. Diese "wiederherstellungskonsole" brauche ich die auch? Dazu müsste ich nämlich ein Online Update machen, was ich aber jetzt erstmal nicht gemacht habe.

Ist jetzt alles überstanden oder wie gehts nun weiter?

@ Chris, danke für deine hilfe :)

Code:
ComboFix 09-05-11.08 - Besitzer 12.05.2009 13:34.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1642 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_nav.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_navps.dat
c:\windows\system32\alirojak.ini
c:\windows\system32\egihokem.ini
c:\windows\system32\esodohuy.ini
c:\windows\system32\ifitejul.ini
c:\windows\system32\iwozituj.ini
c:\windows\system32\ujakazer.ini

----- BITS: Eventuell infizierte Webseiten -----

hxxp://83.149.105.228
.
(((((((((((((((((((((((  Dateien erstellt von 2009-04-12 bis 2009-05-12  ))))))))))))))))))))))))))))))
.

2009-05-11 10:45 . 2009-05-11 10:45        --------        d-----w        c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51        --------        d-----w        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 12:36 . 2008-01-17 15:27        137185312        --sha-w        c:\windows\system32\drivers\fidbox.dat
2009-05-12 11:15 . 2008-01-17 15:27        1613120        --sha-w        c:\windows\system32\drivers\fidbox.idx
2009-05-11 13:03 . 2008-10-12 21:14        --------        d-----w        c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21        --------        d-----w        c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33        --------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 11:22 . 2009-05-11 11:22        --------        d-----w        c:\programme\Trend Micro
2009-04-01 18:11 . 2009-04-01 18:11        --------        d-----r        c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49        --------        d-----w        c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13        6762649        ----a-w        c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00        826368        ----a-w        c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11        24232        ----a-w        c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33        89256        ----a-w        c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48        48        --sh--w        c:\windows\S22198A47.tmp
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 EslWireService;EslWireService;c:\programme\EslWire\service\EslWireSrv.exe [08.05.2008 15:29 868864]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
.
Inhalt des "geplante Tasks" Ordners

2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 13:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2009-05-12 13:37
ComboFix-quarantined-files.txt  2009-05-12 12:36

Vor Suchlauf: 14 Verzeichnis(se), 32.334.184.448 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.376.897.536 Bytes frei

141        --- E O F ---        2009-04-15 21:55

Chris4You 12.05.2009 15:13
Hi,

das sieht schon recht gut aus...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\CF5534.exe
c:\windows\system32\drivers\SysInteg010.sys
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Was treibt der Rechner?

chris

a13x 12.05.2009 15:37
Die Datei CF5534.exe kann ich nicht finden. Ich überprüfe nochmal alles und schau noch ein paar mal. Die eine Datei scheint aber ein volltreffer gewesen zu sein ;)

Dem Rechner gehts gut, ist verdammt schnell hab noch viele unnötige Sachen gelöscht und werde morgen noch Defragmentieren.

Kann man sich für die Zukunft besser schützen? Und welche von den verwendeten Programmen können immer benutzt werden? ComboFix ist ja eher was für Experten was ich so gelesen habe...

Mfg

Code:
Datei SysInteg010.sys empfangen 2009.05.12 16:29:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.101        2009.05.12        -
AhnLab-V3        5.0.0.2        2009.05.12        -
AntiVir        7.9.0.166        2009.05.12        -
Antiy-AVL        2.0.3.1        2009.05.12        -
Authentium        5.1.2.4        2009.05.12        W32/SYStroj.N.gen!Eldorado
Avast        4.8.1335.0        2009.05.11        -
AVG        8.5.0.327        2009.05.12        -
BitDefender        7.2        2009.05.12        -
CAT-QuickHeal        10.00        2009.05.12        -
ClamAV        0.94.1        2009.05.12        -
Comodo        1157        2009.05.08        -
DrWeb        5.0.0.12182        2009.05.12        -
eSafe        7.0.17.0        2009.05.12        -
eTrust-Vet        31.6.6501        2009.05.12        -
F-Prot        4.4.4.56        2009.05.12        W32/SYStroj.N.gen!Eldorado
F-Secure        8.0.14470.0        2009.05.12        -
Fortinet        3.117.0.0        2009.05.12        -
GData        19        2009.05.12        -
Ikarus        T3.1.1.49.0        2009.05.12        -
K7AntiVirus        7.10.732        2009.05.11        -
Kaspersky        7.0.0.125        2009.05.12        -
McAfee        5612        2009.05.11        -
McAfee+Artemis        5612        2009.05.11        -
McAfee-GW-Edition        6.7.6        2009.05.12        -
Microsoft        1.4602        2009.05.12        -
NOD32        4068        2009.05.12        -
Norman        6.01.05        2009.05.12        -
nProtect        2009.1.8.0        2009.05.12        -
Panda        10.0.0.14        2009.05.11        -
PCTools        4.4.2.0        2009.05.07        -
Prevx        3.0        2009.05.12        -
Rising        21.29.14.00        2009.05.12        -
Sophos        4.41.0        2009.05.12        -
Sunbelt        3.2.1858.2        2009.05.12        -
Symantec        1.4.4.12        2009.05.12        -
TheHacker        6.3.4.1.324        2009.05.09        -
TrendMicro        8.950.0.1092        2009.05.12        -
VBA32        3.12.10.4        2009.05.12        -
ViRobot        2009.5.12.1731        2009.05.12        -
VirusBuster        4.6.5.0        2009.05.11        -
weitere Informationen
File size: 9984 bytes
MD5...: 81e43ef006624442b053ba007e120e22
SHA1..: 7f4cfdc2c9da6602873bb5c4d329341586863588
SHA256: 22d5f78580a02b40d748e21a80d91023bd3395f47a36b7642759d8da09ca867d
SHA512: f3f5546665611fc4d75f4247814abfe9cf8c7d2b26ca6823dfa9460e08079a48
bfd21203e901512926c07ad07dd5654cf78ec93912e4fcd8cc7386a0473869db
ssdeep: 192:G578DwBKZBS/iDbXwQvSt+f7VdbQarUsmT4y4SF:I78DwBK/DbXwubWsmT4U
F
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1640
timedatestamp.....: 0x47e67302 (Sun Mar 23 15:10:58 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x1480 0x1480 6.64 673aa3e01b345607835644a0a1d6ecd5
.rdata 0x1780 0x143 0x180 3.92 f7561bac29f35a26b7d4cd532752d8fd
.data 0x1900 0x945 0x980 0.86 1c340ea46905ba2c17fd561da3aa749a
INIT 0x2280 0x214 0x280 4.49 c227a0b7c55453264086f057fc898e3a
.reloc 0x2500 0x190 0x200 4.74 3cc3513aa4f15b7937dcf7122046006f

( 1 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, KeServiceDescriptorTable, MmIsAddressValid, KeAddSystemServiceTable, RtlInitUnicodeString, ZwQuerySystemInformation, ExFreePoolWithTag, ExSystemTimeToLocalTime, KeQuerySystemTime, IoDeleteDevice, IoDeleteSymbolicLink, IofCompleteRequest, RtlUpperChar, IoCreateSymbolicLink, IoCreateDevice, _except_handler3, RtlTimeToTimeFields, _vsnprintf

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Chris4You 12.05.2009 15:51
Hi,

da bin ich mir leider nicht sicher, ob es nicht ein false/positiv ist...
Allerdings ist es seltsam, das der Treiber gleich 3 mal läuft:
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]

Versuchen wir ihn mal zu lokalisieren:
Start->Einstellungen->Systemsteuerung->Dienste und dort mal nach dem Ding suchen, sonst machen wir das mit Flekmann in der Reg...

chris

a13x 12.05.2009 16:02
ich weiß zwar nicht genau was ich da schauen soll aber ich hab dir einfach mal zwei Screenshots gemacht :)

http://s6b.directupload.net/images/090512/d43qn4y6.jpg

http://s11.directupload.net/images/090512/fk2fm4bs.jpg

Chris4You 12.05.2009 16:13
Hi,

suchen wir mal:
......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SysInteg010.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Start -> ausführen -> cmd (reinschreiben) -> OK
Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben)
Inhalt von C:\services.txt hier posten.

chris (bin dann wech...)

a13x 12.05.2009 16:26
danke soweit, bin morgen wieder online. hier das ergebnis

Code:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SysInteg010.sys" 12.05.2009 16:21:08

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1715567821-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\\WINDOWS\\system32\\drivers\\SysInteg010.sys"

[HKEY_USERS\S-1-5-21-1715567821-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\system32\\drivers\\SysInteg010.sys"
Code:
SERVICE_NAME: ALG
DISPLAY_NAME: Gatewaydienst auf Anwendungsebene
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1804
        FLAGS              :

SERVICE_NAME: AntiVirScheduler
DISPLAY_NAME: Avira AntiVir Personal - Free Antivirus Planer
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1840
        FLAGS              :

SERVICE_NAME: AntiVirService
DISPLAY_NAME: Avira AntiVir Personal - Free Antivirus Guard
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1932
        FLAGS              :

SERVICE_NAME: AudioSrv
DISPLAY_NAME: Windows Audio
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Browser
DISPLAY_NAME: Computerbrowser
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: CryptSvc
DISPLAY_NAME: Kryptografiedienste
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: CTAudSvcService
DISPLAY_NAME: Creative Audio Service
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1828
        FLAGS              :

SERVICE_NAME: DcomLaunch
DISPLAY_NAME: DCOM-Server-Prozessstart
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1056
        FLAGS              :

SERVICE_NAME: Dhcp
DISPLAY_NAME: DHCP-Client
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Dnscache
DISPLAY_NAME: DNS-Client
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1268
        FLAGS              :

SERVICE_NAME: Eventlog
DISPLAY_NAME: Ereignisprotokoll
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 884
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: EventSystem
DISPLAY_NAME: COM+-Ereignissystem
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: FastUserSwitchingCompatibility
DISPLAY_NAME: Kompatibilität für schnelle Benutzerumschaltung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: helpsvc
DISPLAY_NAME: Hilfe und Support
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: HidServ
DISPLAY_NAME: HID Input Service
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: HTTPFilter
DISPLAY_NAME: HTTP-SSL
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 3872
        FLAGS              :

SERVICE_NAME: lanmanserver
DISPLAY_NAME: Server
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: lanmanworkstation
DISPLAY_NAME: Arbeitsstationsdienst
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: LmHosts
DISPLAY_NAME: TCP/IP-NetBIOS-Hilfsprogramm
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1296
        FLAGS              :

SERVICE_NAME: Netman
DISPLAY_NAME: Netzwerkverbindungen
        TYPE              : 120  WIN32_SHARE_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Nla
DISPLAY_NAME: NLA (Network Location Awareness)
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: NVSvc
DISPLAY_NAME: NVIDIA-OMEGA Display Driver Service
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 148
        FLAGS              :

SERVICE_NAME: O&O Defrag
DISPLAY_NAME: O&O Defrag
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 164
        FLAGS              :

SERVICE_NAME: PlugPlay
DISPLAY_NAME: Plug & Play
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 884
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: PnkBstrA
DISPLAY_NAME: PnkBstrA
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 232
        FLAGS              :

SERVICE_NAME: PolicyAgent
DISPLAY_NAME: IPSEC-Dienste
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 896
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: ProtectedStorage
DISPLAY_NAME: Geschützter Speicher
        TYPE              : 120  WIN32_SHARE_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 896
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: RasMan
DISPLAY_NAME: RAS-Verbindungsverwaltung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: RpcSs
DISPLAY_NAME: Remoteprozeduraufruf (RPC)
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1108
        FLAGS              :

SERVICE_NAME: SamSs
DISPLAY_NAME: Sicherheitskontenverwaltung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 896
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: Schedule
DISPLAY_NAME: Taskplaner
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: seclogon
DISPLAY_NAME: Sekundäre Anmeldung
        TYPE              : 120  WIN32_SHARE_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: SENS
DISPLAY_NAME: Systemereignisbenachrichtigung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: SharedAccess
DISPLAY_NAME: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: ShellHWDetection
DISPLAY_NAME: Shellhardwareerkennung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Spooler
DISPLAY_NAME: Druckwarteschlange
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1776
        FLAGS              :

SERVICE_NAME: srservice
DISPLAY_NAME: Systemwiederherstellungsdienst
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: SSDPSRV
DISPLAY_NAME: SSDP-Suchdienst
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1296
        FLAGS              :

SERVICE_NAME: stisvc
DISPLAY_NAME: Windows-Bilderfassung (WIA)
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 276
        FLAGS              :

SERVICE_NAME: TapiSrv
DISPLAY_NAME: Telefonie
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: TermService
DISPLAY_NAME: Terminaldienste
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1056
        FLAGS              :

SERVICE_NAME: Themes
DISPLAY_NAME: Designs
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: TrkWks
DISPLAY_NAME: Überwachung verteilter Verknüpfungen (Client)
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: vsmon
DISPLAY_NAME: TrueVector Internet Monitor
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1336
        FLAGS              :

SERVICE_NAME: W32Time
DISPLAY_NAME: Windows-Zeitgeber
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: WebClient
DISPLAY_NAME: WebClient
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1880
        FLAGS              :

SERVICE_NAME: winmgmt
DISPLAY_NAME: Windows-Verwaltungsinstrumentation
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: wscsvc
DISPLAY_NAME: Sicherheitscenter
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: wuauserv
DISPLAY_NAME: Automatische Updates
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: WZCSVC
DISPLAY_NAME: Konfigurationsfreie drahtlose Verbindung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

Chris4You 13.05.2009 06:29
Hi,

sieht aus wie ein Devicetreiber und legt wohl Laufwerk "a" und "f" auf sich um,
denke daher das es ein "regulärer" Treiber ist...

chris

a13x 13.05.2009 14:21
Hi,

AntiVir meldet jetzt auch nichts mehr beim hochfahren. Glaub das wars erstmal, danke!
Kannst du nun irgendwelche Programme empfehlen? Oder einfach nur AntiVir einmal die Woche drüberlaufen lassen?

Chris4You 13.05.2009 14:43
Hi,

AviGuard aktiviert lassen und einen Verhaltensscanner zusätzlich installieren, wie z.B. Threadfire (http://www.gutefrage.net/tipp/thread...programm-avira) oder in Verbindung mit einer Firewal TallEmu (http://support.tallemu.com/vbforum/s...ead.php?t=7993) (aber nicht beides gleichzeitig).

Dann noch MAM als zweitscanner und den einmal die Woche updaten und gesamt drüberlassen, dabei scannt auch Avira gleich mit ;o)...

chris & Out

a13x 13.05.2009 14:47
denkste... :(

gerade vor einer minute gekommen... grrr

Code:
In der Datei 'C:\WINDOWS\system32\panasoba.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134408.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Chris4You 13.05.2009 16:40
Hi,

warst Du auf einer bestimmten Seite oder im Internet?
PANASOBA.EXE->http://www.prevx.com/filenames/38849...ASOBA.EXE.html
(Sehr neu, und schlimmer: Fileinfector d. h. verseucht andere EXE-Files [also eigentlich nicht vundo])..

Die Datei war vorher nicht da falsch, sie ist im RSIT-Log zu finden, wurde aber nicht erkannt und ich habe sie übersehen???, die muß auf Deinem Rechner gelandet sein...
Über was surfst Du, IE oder firefox?
Alle Plugins mal disablen, Routereinstellungen (wenn vorhanden) prüfen (DHCP-Server etc.).

Also noch mal alles von vorne:
Alles Scanner updaten, combofix mit Start->ausführen-> combofix /u deinstallieren und neu runterladen, zusätzlich
http://secured2k.home.comcast.net/to...undoBeGone.exe
Downloaden und im abgesicherten Modus ausführen...!
Nach dem Lauf von VTG bitte das Log (findest Du auf dem Desktop) posten!

Installiere auch unbedingt zusätzlich Threadfire oder Talemu...

chris
PS.:
Da fällt mir die Warnung von Combofix wieder ein:

----- BITS: Eventuell infizierte Webseiten -----

hxxp://83.149.105.228

Hmm, wenn Sie schon vorher da war, lass sie bitte bei virustotal mal überprüfen (aus der Quarantäne heraus)...
Und wir müssen noch mal die Systemwiederherstellung "putzen"...

a13x 13.05.2009 16:57
Langsam gehts mir echt aufn keks. Bis jetzt läuft der Rechner noch normal.

Ich benutze Firefox, vielleicht liegts an dem. Fragt immer nach updates Google Toolbar etc, hats mit dem was zu tun? Ich kann dir genau sagen wo ich war das sind nicht viele Seiten. Trojaner-Board, paar Autoforen... da bin ich schon seit 2 Jahren, Lokalisten, Myspace, Youtube... das wars. Wovon soll ich mir das Ding also schon wieder geholt haben?!
Was muss gemacht werden um die Plugins zu deaktiveren?

Für den zukünftigen Schutz meintest du doch das Threadfire (hab ich schon drauf) und Talemu nicht gleichzeitig laufen sollten?

Naja dann fang ich mal wieder von vorne an :heulen:

Mfg

Chris4You 13.05.2009 17:07
Hi,

der Eintrag gehört zu einer Niederländischen Adresse...
Zitat:
inetnum: 83.149.105.0 - 83.149.105.255
netname: LEASEWEB
descr: LeaseWeb
wenn er nicht gefälscht wurde...

Also ich habe nachgeschaut, der Eintrag ist schon eine ganze Weile da, stellt sich die Frage wieso er nicht erkannt wurde (und ich habe Ihn leider übersehen [Asche auf mein Haupt])...

Hm, könnte auch ein False/Positive sein, um das zu kontrollieren müsstest Du die Datei wiederherstellen (aber Vorsicht beim klicken, kein Doppelklick, nicht ausführen, und sie ist versteckt (hidden))
Alternativ aus der Quarantäne heraus an Avira schicken, wobei die bei sowas sehr "gemütlich" sind...

Hmm, sehr seltsam was Avira da treibt:
Zitat:
C:\WINDOWS\system32\panasoba.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
chris

a13x 13.05.2009 18:10
Habe Avira jetzt erstmal deaktiviert, es nervt. Ständig kommen Meldungen von gefährlichen Programmen die ich gerade installiert hab weil du sie mir empfohlen hast lol. Dafür hab ich jetzt ThreadFire und Online Armor am laufen.

Hab MAM durchgelassen, nix. Dann Combofix mit ausführen und anschliessend VBG im abgesicherten Modus.

Wie soll ich die Adresse bei Virustotal überprüfen lassen, was muss ich machen?

Hier die logs...

http://s10.directupload.net/images/090513/b4laxm2b.jpg

Code:
[05/13/2009, 17:57:53] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Besitzer\Desktop\VirtumundoBeGone.exe" )
[05/13/2009, 17:58:03] - Detected System Information:
[05/13/2009, 17:58:03] -  Windows Version: 5.1.2600, Service Pack 3
[05/13/2009, 17:58:03] -  Current Username: Besitzer (Admin)
[05/13/2009, 17:58:03] -  Windows is in SAFE mode with Networking.
[05/13/2009, 17:58:03] - Searching for Browser Helper Objects:
[05/13/2009, 17:58:03] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[05/13/2009, 17:58:03] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/13/2009, 17:58:03] -  BHO 3: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/13/2009, 17:58:03] - Finished Searching Browser Helper Objects
[05/13/2009, 17:58:03] - Finishing up...
[05/13/2009, 17:58:03] - Nothing found! Exiting...
Code:
ComboFix 09-05-11.08 - Besitzer 13.05.2009 17:48.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1339 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((  Dateien erstellt von 2009-04-13 bis 2009-05-13  ))))))))))))))))))))))))))))))
.

2009-05-13 16:28 . 2009-05-13 16:28        --------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OnlineArmor
2009-05-13 16:28 . 2009-05-13 16:29        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OnlineArmor
2009-05-13 16:27 . 2009-04-28 04:02        31824        ----a-w        c:\windows\system32\drivers\OAmon.sys
2009-05-13 16:27 . 2009-04-28 04:07        29776        ----a-w        c:\windows\system32\drivers\OAnet.sys
2009-05-13 16:27 . 2009-04-28 04:01        198224        ----a-w        c:\windows\system32\drivers\OADriver.sys
2009-05-13 16:27 . 2009-05-13 16:27        --------        d-----w        c:\programme\Tall Emu
2009-05-13 13:50 . 2009-03-03 11:19        39184        ----a-w        c:\windows\system32\drivers\TfSysMon.sys
2009-05-13 13:50 . 2009-03-03 11:19        12560        ----a-w        c:\windows\system32\drivers\TfKbMon.sys
2009-05-13 13:50 . 2009-03-03 11:19        33040        ----a-w        c:\windows\system32\drivers\TfNetMon.sys
2009-05-13 13:50 . 2009-03-03 11:19        51472        ----a-w        c:\windows\system32\drivers\TfFsMon.sys
2009-05-13 13:50 . 2009-05-13 14:00        --------        d-----w        c:\programme\ThreatFire
2009-05-13 13:50 . 2009-05-13 13:50        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-05-11 15:13 . 2009-05-11 15:13        --------        d-----w        C:\rsit
2009-05-11 11:22 . 2009-05-11 11:22        --------        d-----w        c:\programme\Trend Micro
2009-05-11 10:58 . 2009-05-11 10:58        --------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-05-11 10:58 . 2009-04-06 14:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys
2009-05-11 10:58 . 2009-04-06 14:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-11 10:58 . 2009-05-11 10:58        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-11 10:58 . 2009-05-11 10:58        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware
2009-05-11 10:45 . 2009-05-11 10:45        --------        d-----w        c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51        --------        d-----w        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-13 16:51 . 2008-01-17 15:27        137400352        --sha-w        c:\windows\system32\drivers\fidbox.dat
2009-05-13 16:28 . 2006-02-28 12:00        85862        ----a-w        c:\windows\system32\perfc007.dat
2009-05-13 16:28 . 2006-02-28 12:00        460294        ----a-w        c:\windows\system32\perfh007.dat
2009-05-13 04:03 . 2008-01-17 15:27        1614464        --sha-w        c:\windows\system32\drivers\fidbox.idx
2009-05-12 14:10 . 2009-01-16 12:04        --------        d-----w        c:\programme\Spybot - Search & Destroy
2009-05-11 13:03 . 2008-10-12 21:14        --------        d-----w        c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21        --------        d-----w        c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33        --------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 01:07 . 2009-05-11 01:08        2198528        ----a-w        c:\windows\Internet Logs\xDB9.tmp
2009-05-11 01:07 . 2009-05-11 01:08        409600        ----a-w        c:\windows\Internet Logs\xDB8.tmp
2009-05-11 00:54 . 2008-01-17 17:25        --------        d-----w        c:\programme\MAGIX
2009-05-11 00:27 . 2008-07-01 18:45        --------        d-----w        c:\programme\ICQToolbar
2009-04-10 00:40 . 2009-04-10 00:40        103744        ----a-w        c:\windows\system32\drivers\AnyDVD.sys
2009-04-08 15:40 . 2009-04-08 15:41        24064        ----a-w        c:\windows\Internet Logs\xDB7.tmp
2009-04-06 20:44 . 2009-04-06 20:52        924160        ----a-w        c:\windows\Internet Logs\xDB6.tmp
2009-04-01 18:11 . 2009-04-01 18:11        --------        d-----r        c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49        --------        d-----w        c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13        6762649        ----a-w        c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00        826368        ----a-w        c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11        24232        ----a-w        c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33        89256        ----a-w        c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48        48        --sh--w        c:\windows\S22198A47.tmp
.

(((((((((((((((((((((((((((((  SnapShot@2009-05-12_12.36.09  )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-02-28 12:00 . 2009-05-13 16:28        73148              c:\windows\system32\perfc009.dat
+ 2006-02-28 12:00 . 2009-05-13 16:28        444536              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2009-03-03 263440]
"@OnlineArmor GUI"="c:\programme\Tall Emu\Online Armor\oaui.exe" [2009-04-28 2052296]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys --> c:\windows\system32\drivers\pxscan.sys [?]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys --> c:\windows\system32\drivers\pxsec.sys [?]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [13.05.2009 14:50 51472]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [13.05.2009 14:50 39184]
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [13.05.2009 17:27 198224]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [13.05.2009 17:27 31824]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [13.05.2009 17:27 29776]
R2 OAcat;Online Armor Helper Service;c:\programme\Tall Emu\Online Armor\oacat.exe [13.05.2009 17:27 361672]
R2 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [13.05.2009 14:50 33040]
S2 SvcOnlineArmor;Online Armor;c:\programme\Tall Emu\Online Armor\oasrv.exe [13.05.2009 17:27 3264200]
S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CSISCANNER
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - MCHINJDRV
*NewlyCreated* - OACAT
*NewlyCreated* - OADEVICE
*NewlyCreated* - OAMON
*NewlyCreated* - OANET
*NewlyCreated* - PXSCAN
*NewlyCreated* - PXSEC
*NewlyCreated* - SVCONLINEARMOR
*NewlyCreated* - TFFSMON
*NewlyCreated* - TFNETMON
*NewlyCreated* - TFSYSMON
*NewlyCreated* - THREATFIRE
*Deregistered* - CSIScanner
*Deregistered* - MBAMSwissArmy
*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-05-13 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-13 17:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(692)
c:\programme\ThreatFire\TFWAH.dll
c:\programme\ThreatFire\TFNI.dll

- - - - - - - > 'lsass.exe'(748)
c:\programme\ThreatFire\TFWAH.dll

- - - - - - - > 'explorer.exe'(2156)
c:\programme\ThreatFire\TFWAH.dll
.
Zeit der Fertigstellung: 2009-05-13 17:53
ComboFix-quarantined-files.txt  2009-05-13 16:53
ComboFix2.txt  2009-05-12 12:37

Vor Suchlauf: 14 Verzeichnis(se), 32.353.001.472 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.343.789.568 Bytes frei

195        --- E O F ---        2009-04-15 21:55

Chris4You 14.05.2009 06:55
Hi,

das sieht eigentlich alles gut aus, die Tools werden von Avira erkannt da sie die selben Mechansimen wie Malware verwenden...

Deinstalliere combofix (Start->Ausführen combofix /u) und auch den Rest..

Von Threadfire und Talemu solltest Du nur eines behalten, die stören sich sonst gerne gegenseitig...

chris

DocBrown 14.05.2009 08:00
Wirklich interessant!!

Er wird eine Neuinstallation seines Betriebssystems sowieso machen müssen.
Ich frag mich grad wieviel Code schon nachgeladen wurde?? :pukeface::killpc:
Schlauberger!!!

Chris4You 14.05.2009 08:19
Hi,

Docbrown, schön Dich hier zu haben!

Aber eigentlich ist es (glaube ich) nicht so gut, wenn der Aschenbecher voll ist oder eine Beule im Auto ist, das selbige wegzuwerfen, es sei den es gehört bei Dir zum guten Ton...

Wo fängt bei Dir das wegschmeissen an und wo hört es auf, und wie findest Du die ganzen Sachen, die die Sicherheitslösungen übersehen....
Angebliche Servicestechniker bei Dell haben dann wohl ganz tolle Tools oder noch mehr Zeit sich jeden PC detailliert ansehen zu können....

Oder spielen einfach Troll...

Weidmanns Heil,
chris

a13x 14.05.2009 11:30
Hi,

ich hatte eigentlich nicht vor gehabt Windows neu draufzumachen :rolleyes: dazu müsste ich mir erstmal ne externe festplatte besorgen.

Hab jetzt nur noch ThreadFire am laufen. Wie kann ich VBG deinstallieren?? Bei ausführen findet er es nicht bei Software ist es auch nicht und Avira stresst immer rum wegen dem Programm.

mfg Alex

Chris4You 14.05.2009 11:48
Hi,

lösche es einfach so runter und leere danach den Papierkorb...

Lass mich raten, bis jetzt nichts neues mehr gefunden...?

chris

a13x 14.05.2009 12:08
Nein nichts neues :aplaus: Avira meldet auch nichts mehr!

Wenn das so bleibt dann, DANKE!!

:knuddel:

iCanBoogie 14.05.2009 22:11
Sorry, daß ich hier so reinplatze. Bekomme den Trojaner nicht weg und muss was superwichtiges am rechner machen :-(

bin schon mit dem cleaner rüber. hier die hijeck this logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:33, on 14.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Portrait Displays\forteManager\DTHtml.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe
C:\WINDOWS\System32\locator.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Adobe\Adobe InDesign CS2\InDesign.exe
C:\Programme\Mozilla Firefox 2.0 Web.de\nfirefox.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\Pelle\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {652da41b-df9a-4ad1-8ee1-86d323f93eaa} - C:\WINDOWS\system32\tukejavi.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: (no name) - {BFD215A9-52D7-40E8-95EB-E99B4910F53D} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DT LGE] C:\Programme\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"
O4 - HKLM\..\Run: [28e20362] rundll32.exe "C:\WINDOWS\system32\tihufivi.dll",b
O4 - HKLM\..\Run: [CPM2bd130fe] Rundll32.exe "c:\windows\system32\divosewo.dll",a
O4 - HKLM\..\Run: [rovubugegu] Rundll32.exe "C:\WINDOWS\system32\zesanido.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"
O4 - HKCU\..\Run: [ptidle] "C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://file.nx.com/activex/public_new/nxpm.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93A6C06C-88AE-4D27-B9DA-84F89DFDFA2D}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7D2D9-E995-4BD6-B4DA-71ECB3CB00D9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: pushow72.dll c:\windows\system32\divosewo.dll,C:\WINDOWS\system32\pamuyomi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c9a5c46f8f9a68) (gupdate1c9a5c46f8f9a68) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 12969 bytes






kann mir jemand helfen?
system windows xp sp2

danke!

Chris4You 15.05.2009 06:57
Hi,

ausnahmsweise hier im Thread weiter, obwohl Du eigentlich einen eigenen erstellen müsstet...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\prnet.tmp
C:\WINDOWS\system32\tihufivi.dll
c:\windows\system32\divosewo.dll
C:\WINDOWS\system32\pushow72.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|28e20362
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|CPM2bd130fe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rovubugegu

Files to delete:
C:\WINDOWS\system32\prnet.tmp
C:\WINDOWS\system32\tihufivi.dll
c:\windows\system32\divosewo.dll
C:\WINDOWS\system32\zesanido.dll
C:\WINDOWS\system32\pushow72.dll
C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL

Folders to delete:
C:\Programme\MyWay\SrchAstt\1.bin
C:\Programme\MyWay\SrchAstt

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Chris

iCanBoogie 15.05.2009 11:14
Stimmt, vielen Danke - hätte ich machen sollen.
Bin noch bei der Arbeit, werde das heute abend direkt machen.

Danke für die Mühe, bis später!

iCanBoogie 15.05.2009 19:11
Datei prnet.tmp empfangen 2009.05.15 19:54:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/40 (52.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Trojan-Clicker.Vb!IK
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 PCK/ExeCryptor
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 Downloader.Generic8.AMBO
BitDefender 7.2 2009.05.15 Trojan.Clicker.VB.VH
CAT-QuickHeal 10.00 2009.05.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 Trojan.Click.25308
eSafe 7.0.17.0 2009.05.14 Win32.PCKExeCryptor
eTrust-Vet 31.6.6507 2009.05.15 Win32/AdClicker.WP
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.15 W32/Dloader.E!tr
GData 19 2009.05.15 Trojan.Clicker.VB.VH
Ikarus T3.1.1.49.0 2009.05.15 Trojan-Clicker.Vb
K7AntiVirus 7.10.735 2009.05.14 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.05.15 -
McAfee 5616 2009.05.15 Generic Downloader.e
McAfee+Artemis 5616 2009.05.15 Generic Downloader.e
McAfee-GW-Edition 6.7.6 2009.05.15 Packer.ExeCryptor
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 Trj/CI.A
PCTools 4.4.2.0 2009.05.15 Packed/Execryptor
Prevx 3.0 2009.05.15 High Risk Fraudulent Security Program
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 Downloader
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 Packed/Execryptor
weitere Informationen
File size: 165376 bytes
MD5...: b52783213f0f56c5d30e071c54a63bf8
SHA1..: 6ed9a5b4b3d4acf446f3543c9deea42a51890d01
SHA256: ed26dc7c0740e8b46f34772647778e33aa3d8085290b2dc6793d2393b01d4acb
SHA512: d954829cefd07cf5ad338957b78f0bcc5a01e7ad15eba94674449187f3d2d6c9
e023f57426bad07c4bd6d710e659f78d934f9cbb5106c0a188e0fdba17b43d1e
ssdeep: 3072:Xr8AA3amqXi23TU6roUvhH+VJCK4RoqNFm5++576AFR7eMh+GJmqyv2lLPE
4I:X4AUamqRjU6rnt+bCKm1mA+576mRfryN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x550d1
timedatestamp.....: 0x4a03224c (Thu May 07 18:02:52 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
i1eyd9iy 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xe000 0x4000 0x4000 3.39 c5ccd71ea48bb09ce02d09918811e778
gxe7quc. 0x12000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
scx1rp7d 0x13000 0x1f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
tuhsy6ho 0x32000 0x24000 0x230f5 7.99 1f0ac80d29c62255069a5fa8534944ce
cl.nss.w 0x56000 0x1000 0x1000 7.95 5ac24357dd2b1c4863dd04f18a1f986d

( 0 imports )

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): Execryptor
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F345B7AD0007D7E386170202CA125600F7D2018A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F345B7AD0007D7E386170202CA125600F7D2018A</a>
packers (F-Prot): EXECryptor


tihuvivi: 0 bytes size received / Se ha recibido un archivo vacio
habe dann nach der tihuvivi.VIR gesucht mit folgendem ergebnis:

Datei tihufivi.VIR empfangen 2009.05.15 20:00:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/39 (43.59%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Trojan.Win32.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 TR/Vundo.Gen
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
Avast 4.8.1335.0 2009.05.15 Win32:Vuku
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.15 Packed.Win32.Krap.q
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
Ikarus T3.1.1.49.0 2009.05.15 Trojan.Win32.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 Packed.Win32.Krap.q
McAfee 5616 2009.05.15 Vundo.gen.ab
McAfee+Artemis 5616 2009.05.15 Vundo.gen.ab
McAfee-GW-Edition 6.7.6 2009.05.15 Trojan.Vundo.Gen
Microsoft 1.4602 2009.05.15 Trojan:Win32/Vundo.gen!AM
NOD32 4080 2009.05.15 a variant of Win32/Kryptik.OS
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.15 Troj/Virtum-Gen
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
weitere Informationen
File size: 80384 bytes
MD5...: e164302cb6df5d7a0b5aebe354411100
SHA1..: b3f636dab75485e6217a1bbb1c8067a6bc0dc365
SHA256: a2f2193b88c4c7557a961ac305cc59dfaeb20325468a2d5a30804dd8be7ded5c
SHA512: feb96aac0cb7d2ac17de491ac039149f39be10830c71a0cdf3b912b37294b3e7
05366fb8e08b064c3193e4ba44f640dce3ddd16e88ab87eba333106691e6365e
ssdeep: 1536:bIWMIPFuqMbRCDLMCCWaIt6fC9gCgWMMjZuFOhnwN0s3qgJ+0B6:b7/9uZR
gLMCaI42gCDMMVuOJheM
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2457f
timedatestamp.....: 0x4823734f (Thu May 08 21:40:31 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x200 7.62 99356c2545cabb27b6e8860455dd50b0
.rdata 0x2000 0x1000 0x200 7.57 491d3a9ed4043371105715e2bdba47c0
.data 0x3000 0x20000 0x10400 8.00 9ad7442512b3bea4540ea4eaa47b4232
.reloc 0x23000 0x1000 0x800 1.25 d616cf08c53f2a2cf170a8f457768384
.text 0x24000 0x3000 0x2600 4.84 c96fcefa316773f30430f0145c6daabe

( 4 imports )
> KERNEL32.dll: CreateFileW, ExitProcess
> WINMM.dll: CloseDriver, mmioWrite
> GDI32.dll: CreateBitmap
> comdlg32.dll: PrintDlgExW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-



so dann die divosewo.VIR (dll nicht vorhanden):

Datei DIVOSEWO.VIR empfangen 2009.05.15 20:04:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/40 (47.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Trojan.Win32.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 TR/Vundo.Gen
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
Avast 4.8.1335.0 2009.05.15 Win32:Vuku
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.15 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6507 2009.05.15 -
F-Prot 4.4.4.56 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.15 Packed.Win32.Krap.q
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7
Ikarus T3.1.1.49.0 2009.05.15 Trojan.Win32.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 Packed.Win32.Krap.q
McAfee 5616 2009.05.15 Vundo.gen.ab
McAfee+Artemis 5616 2009.05.15 Vundo.gen.ab
McAfee-GW-Edition 6.7.6 2009.05.15 Trojan.Vundo.Gen
Microsoft 1.4602 2009.05.15 Trojan:Win32/Vundo.gen!G
NOD32 4080 2009.05.15 a variant of Win32/Kryptik.OS
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.15 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.15 -
Rising 21.29.44.00 2009.05.15 Trojan.Win32.VUNDO.dkg
Sophos 4.41.0 2009.05.15 Troj/Virtum-Gen
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.15 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 Trojan.Vundo.Gen!Pac.39
weitere Informationen
File size: 80896 bytes
MD5...: f9f8da09eb04f34c676aec0fe1e5cdca
SHA1..: 7b8ceb540f833cde9cc68b35ba5864832bfc12fe
SHA256: f453893aeef13892b6cb731dbeda38206d4123932a5011f7e8075ce893c66c94
SHA512: 0beedcf1f65d36cd236d796151bf3fd9fcd2b8489dc218b79998eb7882237f51
2261ebb066cfdad72be22e82a2c58b2dbb5007ee9e0f710704146287e5dba42b
ssdeep: 1536:i2emLTQqNcluwjxYWywOTj4eP5wHmCiBGIs62JHSkOGb1:i2eHjx92n4eP5
wHyBDsnSkOGb1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2301c
timedatestamp.....: 0x4823b693 (Fri May 09 02:27:31 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x400 7.80 c0bae8da920ccc06d50bea469e2ca6b7
.rdata 0x2000 0x1000 0x400 7.82 8ff71cb5da3ea5038b0ac22c015f6f7f
.data 0x3000 0x1f000 0x10600 8.00 de5ad868d06475de09ef9c0bd33585c7
.reloc 0x22000 0x1000 0x400 2.25 3839d4b5b191bae704e267d27b8c5a0d
.text 0x23000 0x3000 0x2600 4.83 cfae2234528abf962d9f794595fc3f6c

( 4 imports )
> KERNEL32.dll: CreateFileW, ExitProcess
> WINMM.dll: CloseDriver, mmioWrite
> GDI32.dll: CreateBitmap
> comdlg32.dll: PrintDlgExW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-




Datei pushow72.dll empfangen 2009.05.15 20:08:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 36/40 (90%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.15 Riskware.AdWare.Win32.AdvertMen.a!IK
AhnLab-V3 5.0.0.2 2009.05.15 Win-Trojan/Clicker.136192
AntiVir 7.9.0.168 2009.05.15 ADSPY/AdvertMen.A.19
Antiy-AVL 2.0.3.1 2009.05.15 AdWare/Win32.AdvertMen
Authentium 5.1.2.4 2009.05.15 W32/Adclicker.RD
Avast 4.8.1335.0 2009.05.15 Win32:Small-UC
AVG 8.5.0.336 2009.05.15 Generic.NPM
BitDefender 7.2 2009.05.15 Trojan.Clicker.GG
CAT-QuickHeal 10.00 2009.05.15 AdWare.AdvertMen.a (Not a Virus)
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 Application.Win32.Adware.AdvertMen
DrWeb 5.0.0.12182 2009.05.15 Adware.Advert
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6507 2009.05.15 Win32/Istbar.CH
F-Prot 4.4.4.56 2009.05.15 W32/Adclicker.RD
F-Secure 8.0.14470.0 2009.05.15 AdWare.Win32.AdvertMen.a
Fortinet 3.117.0.0 2009.05.15 AdClicker.O!tr
GData 19 2009.05.15 Trojan.Clicker.GG
Ikarus T3.1.1.49.0 2009.05.15 not-a-virus:AdWare.Win32.AdvertMen.a
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.15 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 5616 2009.05.15 Generic AdClicker.o
McAfee+Artemis 5616 2009.05.15 Generic AdClicker.o
McAfee-GW-Edition 6.7.6 2009.05.15 Ad-Spyware.AdvertMen.A.19
Microsoft 1.4602 2009.05.15 BrowserModifier:Win32/Istbar.F
NOD32 4080 2009.05.15 Win32/Adware.AdvertMen
Norman 6.01.05 2009.05.14 W32/Advertmen.A
nProtect 2009.1.8.0 2009.05.15 Trojan-Clicker/W32.Agent.136192
Panda 10.0.0.14 2009.05.15 Adware/AdvertMem
PCTools 4.4.2.0 2009.05.15 Adware.Advertmen
Prevx 3.0 2009.05.15 Low Risk Adware
Rising 21.29.44.00 2009.05.15 Trojan.Clicker.Agent.xt
Sophos 4.41.0 2009.05.15 Advertismen
Sunbelt 3.2.1858.2 2009.05.15 Advertismen
Symantec 1.4.4.12 2009.05.15 Adware.AdvertMen
TheHacker 6.3.4.1.326 2009.05.15 Adware/AdvertMen.a
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.15 AdWare.Win32.AdvertMen.a
ViRobot 2009.5.15.1737 2009.05.15 Adware.AdvertMen
VirusBuster 4.6.5.0 2009.05.15 Adware.AdvertMen.A
weitere Informationen
File size: 136192 bytes
MD5...: b3560d5ec47aaebe51c2f60a155dda5b
SHA1..: f40882225a81d726015f842f29eb84317108d4b8
SHA256: e1ab6dfdc90eabd80de8197772a4691d0de2f33bb032ee58447d91e9006bda83
SHA512: 0bcc54bdd40b17756b03ca8c3c3a6c675ab40f17ffcab882dec41613226c17d6
7ce813571e36b48d60e228354a91999c2f8b5b617a6143d2356b72f461882252
ssdeep: 3072:2h9mUFYWUyTNVvMHpWuBBI9K2FkE8oVSsJw:c9m/bypVvaWuMsitSsJw
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x105f8
timedatestamp.....: 0x4450e989 (Thu Apr 27 15:55:53 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x178e6 0x17a00 6.29 856b443fec65c1b16608a87748c5b368
.rdata 0x19000 0x26d7 0x2800 5.34 f12171290525c544b67c0ddd72d6485d
.data 0x1c000 0x544c 0x3e00 2.08 0f70924ff4428d4fdb109bd8d2cdda8d
.InjectD 0x22000 0x101c 0x1200 0.00 b1e27aa018409de6bfd73f8afb883a65
.rsrc 0x24000 0xe0 0x200 3.62 606548d0991fcc0f01994051edfc037a
.reloc 0x25000 0x1a1a 0x1c00 4.87 f353d84d884f00cb31cf8adaa3b1301f

( 10 imports )
> KERNEL32.dll: EnterCriticalSection, GlobalUnlock, GlobalLock, GlobalAlloc, InterlockedDecrement, GetLastError, GetCurrentProcess, lstrlenW, InterlockedIncrement, lstrcmpW, DeleteCriticalSection, FlushInstructionCache, LeaveCriticalSection, InitializeCriticalSection, DisableThreadLibraryCalls, InterlockedExchange, LocalAlloc, FreeLibrary, LCMapStringW, LCMapStringA, SetEndOfFile, LoadLibraryA, GetOEMCP, GetACP, GetCPInfo, IsBadCodePtr, IsBadReadPtr, GetCurrentThreadId, ReadFile, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetVersionExA, GetEnvironmentVariableA, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetModuleHandleA, GetProcAddress, HeapSize, HeapReAlloc, TerminateProcess, ExitProcess, TlsGetValue, TerminateThread, GetModuleFileNameA, lstrlenA, lstrcmpA, GetVolumeInformationA, GetLocaleInfoA, CreateFileA, SetLastError, TlsFree, TlsAlloc, TlsSetValue, HeapAlloc, RaiseException, HeapFree, GetVersion, GetCommandLineA, RtlUnwind, LocalFree, WideCharToMultiByte, WriteFile, MultiByteToWideChar, GetTempPathA, Sleep, DeleteFileA, CreateThread, OpenProcess, SetFilePointer, CloseHandle
> USER32.dll: CharUpperBuffA, UnhookWindowsHookEx, SetWindowsHookExW, SetTimer, RegisterClassExW, LoadCursorW, LoadStringA, FindWindowW, GetWindowThreadProcessId, GetWindowTextLengthW, RegisterWindowMessageW, DefWindowProcW, GetWindowLongW, GetWindow, SetWindowLongW, SetWindowTextW, GetWindowTextW, FindWindowExW, GetClassInfoExW, GetWindowRect, MapWindowPoints, KillTimer, MoveWindow, IsWindowVisible, ShowWindow, CreateWindowExW, CallWindowProcW, DestroyWindow, GetDlgItem, SendMessageW, InvalidateRgn, InvalidateRect, SetCapture, ReleaseCapture, CreateAcceleratorTableW, GetDesktopWindow, GetClassNameW, RedrawWindow, SetWindowPos, IsWindow, GetClientRect, BeginPaint, FillRect, EndPaint, GetDC, ReleaseDC, IsChild, GetFocus, SetFocus, GetSysColor, wsprintfW, MessageBoxA, ExitWindowsEx, GetClassNameA, GetParent, CallNextHookEx
> ADVAPI32.dll: LookupPrivilegeValueW, OpenProcessToken, RegCloseKey, RegCreateKeyExW, RegSetValueExW, AdjustTokenPrivileges
> SHLWAPI.dll: PathFileExistsA
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA, InternetGetConnectedState
> PSAPI.DLL: GetModuleFileNameExA
> OLEPRO32.DLL: -
> ole32.dll: CoUninitialize, CoInitialize, OleUninitialize, CreateStreamOnHGlobal, OleInitialize, CLSIDFromProgID, CLSIDFromString, CoCreateInstance, CoTaskMemFree, StringFromCLSID, CoTaskMemAlloc, OleLockRunning
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> GDI32.dll: GetStockObject, GetObjectW, CreateSolidBrush, DeleteObject, GetDeviceCaps, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, BitBlt, DeleteDC

( 1 exports )
UninstallW
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b</a>
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4DBBEA4600000B04147A02F7147D4D002559DD1E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4DBBEA4600000B04147A02F7147D4D002559DD1E</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b</a>








Und nun? soll ich jetzt wie du meinst weitermachen, obwohl diese dll dateien nur teilweise mit dem von dir angegebenen dateinamen vorhanden waren?

Chris4You 15.05.2009 19:32
Hi,

ja unbedingt abfahren, hoffe das sich inzwischen nichts neues eingeschlichen hat...

MAM danach nicht vergessen...

chris

iCanBoogie 15.05.2009 20:08
so. beim zweiten durchgang scheints geklappt zu haben:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\prnet.tmp" not found!
Deletion of file "C:\WINDOWS\system32\prnet.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\tihufivi.vir" deleted successfully.
File "c:\windows\system32\divosewo.vir" deleted successfully.

Error: file "C:\WINDOWS\system32\zesanido.dll" not found!
Deletion of file "C:\WINDOWS\system32\zesanido.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist



die dateien die er nicht fand, habe ich im ersten durchgang "behandelt".

so jetzt kommt MAM :)

Chris4You 15.05.2009 20:12
Hi,

okay, mal sehen wie lange der Akku am notebook hier noch mitmacht...

chris

iCanBoogie 15.05.2009 21:23
MAM hat noch einiges gefunden. Programm ist noch offen.

was muss ich damit tun?


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2137
Windows 5.1.2600 Service Pack 2

15.05.2009 22:23:34
mbam-log-2009-05-15 (22-23-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 292578
Laufzeit: 1 hour(s), 9 minute(s), 28 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 28
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 9
Infizierte Dateien: 19

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe (Trojan.Matcash) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{652da41b-df9a-4ad1-8ee1-86d323f93eaa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{652da41b-df9a-4ad1-8ee1-86d323f93eaa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\bho_cpv.workhorse (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_cpv.workhorse.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{26a98aa8-07fe-46e6-b6df-26704f3b895f} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\digifast (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_CPV.DLL (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ptidle (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\digifast (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipuspdc (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\twain (Trojan.Matcash) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prnet (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prnet (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle (Trojan.Downloader) -> No action taken.
C:\Programme\MyWay (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\History (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings (Adware.MyWay) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast (Trojan.Agent) -> No action taken.
C:\Programme\WWShow (Trojan.Agent) -> No action taken.
C:\Programme\Jcore (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain (Trojan.Matcash) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe (Trojan.Dropper) -> No action taken.
C:\Programme\Jcore\Jcore2.dll (Trojan.BHO) -> No action taken.
C:\Programme\Mozilla Firefox\components\dfff.dll (Trojan.Agent.V) -> No action taken.
C:\Programme\Mozilla Firefox\components\WWShow.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\pushow37.dll (Adware.AdvertMen) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\DFUninstall.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\ovfsthxbqpfvknmb.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\rasesnet.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\891H3MHC\152[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LJZL7NFP\155[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LJZL7NFP\163[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MHOMKRDE\dfuninstaller.prod.v14000.18mar2009.exe[1].10b9665cc5f98c037e9b8dcc0e88929e (Trojan.Dropper) -> No action taken.
C:\Programme\MyWay\myBar\History\search (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings\prevcfg.htm (Adware.MyWay) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\config.cfg (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe (Trojan.Matcash) -> No action taken.

Chris4You 15.05.2009 22:01
Hi,

scannen und alles bereinigen lassen...
Dann noch mal ein HJ-Log, Akku ist leer...

chris

Chris4You 16.05.2009 07:49
Hi,

poste das Log von MAM beim Bereinigen und noch ein RSIT-Log...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

iCanBoogie 16.05.2009 12:06
Hi Chris,
hier das MAM log

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2137
Windows 5.1.2600 Service Pack 2

15.05.2009 22:23:34
mbam-log-2009-05-15 (22-23-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 292578
Laufzeit: 1 hour(s), 9 minute(s), 28 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 28
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 9
Infizierte Dateien: 19

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe (Trojan.Matcash) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{652da41b-df9a-4ad1-8ee1-86d323f93eaa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{652da41b-df9a-4ad1-8ee1-86d323f93eaa} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\bho_cpv.workhorse (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_cpv.workhorse.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{26a98aa8-07fe-46e6-b6df-26704f3b895f} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\digifast (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_CPV.DLL (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ptidle (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\digifast (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipuspdc (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\twain (Trojan.Matcash) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prnet (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prnet (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle (Trojan.Downloader) -> No action taken.
C:\Programme\MyWay (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\History (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings (Adware.MyWay) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast (Trojan.Agent) -> No action taken.
C:\Programme\WWShow (Trojan.Agent) -> No action taken.
C:\Programme\Jcore (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain (Trojan.Matcash) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe (Trojan.Dropper) -> No action taken.
C:\Programme\Jcore\Jcore2.dll (Trojan.BHO) -> No action taken.
C:\Programme\Mozilla Firefox\components\dfff.dll (Trojan.Agent.V) -> No action taken.
C:\Programme\Mozilla Firefox\components\WWShow.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\pushow37.dll (Adware.AdvertMen) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\DFUninstall.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\ovfsthxbqpfvknmb.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temp\rasesnet.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\891H3MHC\152[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LJZL7NFP\155[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LJZL7NFP\163[1].net (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MHOMKRDE\dfuninstaller.prod.v14000.18mar2009.exe[1].10b9665cc5f98c037e9b8dcc0e88929e (Trojan.Dropper) -> No action taken.
C:\Programme\MyWay\myBar\History\search (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings\prevcfg.htm (Adware.MyWay) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\config.cfg (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe (Trojan.Matcash) -> No action taken.



gestern abend sah alles eigentlich ganz gut aus. Heute nachdem ich den Rechner wieder startete, hat mich antivir wieder vor VUNDUS gewarnt.

Muss ich wieder von vorne anfangen, oder lohnt es sich noch JETZT mit dem RSIT programm fortzufahren?

Chris4You 16.05.2009 18:31
Hi,

hast Du MAM bereinigen lassen?
Das Log von MAM zeigt an: No Action taken...

Das Problem sind die speicherresistenten Programme, die verseuchen den Rechner immer wieder neu, sobald eine Internetverbindung besteht...

Daher folgendes Avengerscript abfahren (kennst Du ja jetzt schon), wenn Du offline gegangen bist (kopiere Dir den Text und speichere ihn temporär irgendow zwischen, oder starte Avenger, kopiere den Text rein und gehe dann offline):
Code:
Files to delete:
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\digifast\digifast.exe
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Microsoft\Windows\dviuo.exe
C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\Twain\Twain.exe
Wir gehen jetzt wie folgt vor:

Update von MAM, Combofix deinstallieren (Start->Ausführen-> combofix /u), neu runterladen, Avira updaten...

RSIT laufen lassen, Log posten;

Jetzt offlinge gehen, Avenger laufen lassen, neu starten, Combofix laufen lassen, danach MAM und dann AVIRA fullscan mit folgenden Einstellungen:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-a...tellungen.html

Dann noch mal RSIT laufen lassen, online gehen und alle Logs posten,
offline gehen und (am besten auf einem anderen Rechner) auf Antwort warten.

Falls noch was übrig bleibt erstelle ich dann ein passendes Avengerscript...

So minimieren wir die Wahrscheinlichkeit, das sich was neues einnisten kann...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131