Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   virusproblem (https://www.trojaner-board.de/76027-virusproblem.html)

ohem 03.08.2009 16:49
virusproblem
 
Hallo,
Ich bekomme ca. jede Woche bzw. nach dem xten Pcstart das Problem das nachdem der Pc hochgefahren ist keinerlei Programme starten (zb.firewall etc.) und der pc keinerlei Reaktion zeigt. Dann muss ich in den abgesicherten Modus neustarten und folgende anscheinend vom virus befallene Dateien löschen C:\windows\system32\digest32.dll, C:\windows\temp\css.exe/system.exe/msi.exe/iexplorer.exe und noch eine .exe dessen name mir gerade leider entfallen ist :headbang: . Nachdem ich diese datein also gelöscht habe kann ich den pc wieder normal starten und es funktioniert alles. Das Problem ist jedoch das wie oben schon erwähnt diese Datein nach geraumer Zeit wieder auftauchen und ich diese Prozedur wiederholen muss, was sehr lässtig ist. Daher würd ich es begrüssen wenn ihr ne Lösung habt mit der ich das Problem entgültig beheben kann.

mfg ohem

kira 03.08.2009 17:30
Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

gruß
Coverflow

ohem 03.08.2009 21:29
Danke für die schnelle und ausführliche Antwort :) Ich muss die infos in mehreren antworten schreiben, weil ich anscheinend die Kaperzität an Zeichen überschritten hab. Ich hoffe ich hab alles richtig gemacht.

1. hijackthis logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:08, on 03.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Razer\Krait\razerhid.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Razer\Krait\razerofa.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL (file missing)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [Windows Updater] C:\WINDOWS\TEMP\System.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows System Update] C:\WINDOWS\TEMP\CSRSS.EXE
O4 - HKLM\..\Run: [Language_Shortcut] C:\WINDOWS\TEMP\IEXPLORE.EXE
O4 - HKLM\..\Run: [SYSTRAY_UPDATE] C:\WINDOWS\TEMP\systray.exe
O4 - HKLM\..\Run: [RUNDLL32] C:\WINDOWS\TEMP\rundll32.exe
O4 - HKLM\..\Run: [wmp] C:\WINDOWS\system32\patch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Security Interface] C:\WINDOWS\TEMP\msi.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Antivirus] C:\Programme\Antivirus2008\Antvrs.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Nero MediaHome 4 Service (NeroMediaHomeService.4) - Unknown owner - C:\Programme\Nero\Nero MediaHome 4\NMMediaServerService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\Programme\Nero\Nero BackItUp 4\IoctlSvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 13469 bytes
2. install.txt

Code:
abitEQ V1.1.0.5
Adobe Color Common Settings
Adobe Creative Suite 3 Master Collection hinzufügen oder entfernen
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe OnLocation CS3
Adobe Reader 8.1.6 - Deutsch
Adobe Shockwave Player 11.5
Adobe Ultra CS3
Adobe Ultra CS3 - MSL Legacy Support
ANNO 1404
ArmA2 Uninstall
Avira AntiVir Personal - Free Antivirus
Battlefield 2(TM)
Battlefield 2: Special Forces
BitTorrent
Blu-ray Video Plug-in
Blu-ray/HD DVD Video Plug-in
Call of Duty(R) - World at War(TM)
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Juarez - Bound in Blood
Canon iP3300
Canon iP3300 Benutzerregistrierung
Canon Setup Utility 2.3
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
CCleaner (remove only)
DAEMON Tools Toolbar
Die Sims™ 3
Digimax Master
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
DNA
DTS Plug-in
Easy-WebPrint
EAX Unified
Europa Casino
Far Cry 2
FlashMenu
Fraps
Free YouTube to Mp3 Converter version 3.1
Full Tilt Poker.Net
Google Earth Pro
Google Updater
Gracenote Plug-in
Grand Theft Auto IV
Hamachi 1.0.3.0
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
HLSW v1.3.0
ICQ6.5
Java(TM) 6 Update 13
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Marvell Miniport Driver
Messenger Plus! Live
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.5
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft Kernel-Mode Driver Framework Feature Pack 1.1
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0 Runtime
Microsoft Xbox 360 Accessories 1.1
Mirror's Edge™
ModernRcon v0.6
Mozilla Firefox (3.0.12)
mp3PRO Plug-in
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser und SDK
MSXML 6 Service Pack 2 (KB954459)
Need for Speed™ Undercover
Nero 9
Nero BackItUp 2 Essentials
Nero BackItUp 4
Nero InCD-Reader
Nero MediaHome 4
Nero Move it
NHL® 09
Notepad++
NVIDIA Drivers
NVIDIA PhysX
OpenAL
PartyPoker
PokerStars
PowerQuest PartitionMagic 8.0
Pro Evolution Soccer 2009
ProtectDisc Driver, Version 11
PunkBuster Services
Pure
Razer Krait
Realtek High Definition Audio Driver
Rockstar Games Social Club
RTL Winter Sports 2009
Samsung USB Driver
SecurDisc Viewer
SimCity™ Societies
SimCity™ Societies Reisewelten
Spybot - Search & Destroy
System Requirements Lab
TeamSpeak 2 RC2
The Godfather™ II
Tom Clancy's H.A.W.X
Uninstall 1.0.0.1
VideoLAN VLC media player 0.8.6f
Virtua Tennis(TM) 2009
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows XP Service Pack 3
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)
WinRAR
ZoneAlarm


mfg ohem

ohem 03.08.2009 21:32
3. filelist

Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\

03.08.2009  18:46                43 filelist.txt
03.08.2009  16:36    2.145.386.496 pagefile.sys
20.07.2009  17:55            2.891 crtdbg.txt
15.03.2009  17:47              222 boot.ini
09.12.2008  19:55          251.712 ntldr
15.05.2008  17:33                0 MSDOS.SYS
15.05.2008  17:33                0 AUTOEXEC.BAT
15.05.2008  17:33                0 CONFIG.SYS
15.05.2008  17:33                0 IO.SYS

              11 Datei(en)  2.145.693.880 Bytes
              0 Verzeichnis(se), 105.254.109.184 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\WINDOWS

03.08.2009  18:10        1.171.322 WindowsUpdate.log
03.08.2009  16:37                0 0.log
03.08.2009  16:37              159 wiadebug.log
03.08.2009  16:37                50 wiaservc.log
03.08.2009  16:36            2.048 bootstat.dat
03.08.2009  11:13        1.110.816 ntbtlog.txt
20.07.2009  15:28            75.417 setupapi.log
20.07.2009  15:28          172.611 setupact.log
15.07.2009  13:57          238.862 ntdtcsetup.log
15.07.2009  13:57          183.719 iis6.log
15.07.2009  13:57          396.659 comsetup.log
15.07.2009  13:57            1.374 imsins.log
15.07.2009  13:57            64.624 ocmsn.log
15.07.2009  13:57          448.666 tsoc.log
15.07.2009  13:57            6.030 KB973346.log
15.07.2009  13:57          561.794 ocgen.log
15.07.2009  13:57            58.299 msgsocm.log
15.07.2009  13:57        1.162.106 FaxSetup.log
15.07.2009  13:57            1.374 imsins.BAK
15.07.2009  13:57            10.518 KB971633.log
15.07.2009  13:55            10.758 KB961371.log
13.07.2009  20:13            22.446 wmsetup.log
13.06.2009  22:46            7.578 KB956803.log
13.06.2009  22:46            13.178 KB951748.log
13.06.2009  22:46          172.091 updspapi.log
11.06.2009  22:09            13.066 KB961501.log
11.06.2009  22:09            8.174 KB969898.log
11.06.2009  22:07            12.885 KB970238.log
11.06.2009  22:07            12.957 KB968537.log
05.06.2009  18:45                69 NeroDigital.ini
04.06.2009  20:41        1.098.809 setupapi.log.0.old
30.05.2009  10:51              533 wininit.ini
16.05.2009  09:55          413.299 DirectX.log
29.04.2009  20:49            11.585 KB961503.log
15.04.2009  20:38            81.137 spupdsvc.log
15.04.2009  18:06            19.400 KB959426.log
15.04.2009  18:06            18.073 KB961373.log
15.04.2009  18:05            16.933 KB956572.log
15.04.2009  18:04            15.015 KB952004.log
15.04.2009  18:03            12.602 KB960803.log
15.04.2009  18:03            8.917 KB923561.log
07.04.2009  20:51            4.767 Irremote.ini
20.03.2009  20:40            14.210 KB942288-v3.log
15.03.2009  23:13            11.495 KB946648.log
15.03.2009  23:13          197.052 KB952287.log
12.03.2009  22:18            32.612 SchedLgU.Txt
11.03.2009  19:05            12.289 KB960225.log
11.03.2009  19:05            5.320 KB938464-v2.log
11.03.2009  19:05            12.331 KB958690.log
25.02.2009  23:29            11.579 KB967715.log
11.02.2009  23:34            11.825 KB960715.log
11.02.2009  23:34            18.013 KB961260-IE7.log

            285 Datei(en)    58.865.211 Bytes
              0 Verzeichnis(se), 105.254.096.896 Bytes frei
 
----- System  ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\WINDOWS\system


              25 Datei(en)        929.787 Bytes
              0 Verzeichnis(se), 105.254.092.800 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\WINDOWS\system32

03.08.2009  16:38          215.383 nvapps.xml
03.08.2009  16:36          358.381 vsconfig.xml
03.08.2009  11:32          189.104 PnkBstrB.exe
03.08.2009  11:32          189.104 PnkBstrB.xtr
03.08.2009  11:07            2.278 wpa.dbl
18.07.2009  11:42            1.324 d3d9caps.dat
14.07.2009  16:44                4 ESQULzcounter
07.07.2009  17:10        24.539.592 MRT.exe
03.07.2009  21:32        1.576.336 FNTCACHE.DAT
03.07.2009  21:25          435.896 perfh009.dat
03.07.2009  21:25          452.758 perfh007.dat
03.07.2009  21:25            68.540 perfc009.dat
03.07.2009  21:25            81.478 perfc007.dat
03.07.2009  21:25        1.006.480 PerfStringBackup.INI
16.06.2009  16:36            81.920 fontsub.dll
16.06.2009  16:36          119.808 t2embed.dll
12.06.2009  13:47            4.212 zllictbl.dat
03.06.2009  21:09        1.296.896 quartz.dll
30.05.2009  11:21              552 d3d8caps.dat
30.05.2009  11:04            10.698 patch
27.05.2009  18:26            75.064 PnkBstrA.exe
07.05.2009  17:32          348.160 localspl.dll
01.05.2009  00:30            29.892 cad.tvp
01.05.2009  00:30            33.032 finance.tvp
01.05.2009  00:30            31.186 dcc.tvp
01.05.2009  00:30            53.768 default.tvp
30.04.2009  22:02          457.248 nvudisp.exe
30.04.2009  22:02        1.579.630 nvdata.bin
27.04.2009  00:42          457.248 NVUNINST.EXE
22.04.2009  00:20        14.311.680 xlive.dll
22.04.2009  00:20        13.642.496 xlivefnt.dll
22.04.2009  00:19          172.173 xlive.dll.cat
19.04.2009  21:46        1.847.296 win32k.sys
15.04.2009  16:51          585.216 rpcrt4.dll
07.04.2009  02:29          118.520 pxinsi64.exe
07.04.2009  02:29          187.128 pxmas.dll
07.04.2009  02:29          379.640 pxwave.dll
07.04.2009  02:29          120.056 pxcpyi64.exe
07.04.2009  02:29            72.440 pxhpinst.exe
07.04.2009  02:29            88.824 vxblock.dll
07.04.2009  02:29          129.784 pxafs.dll
07.04.2009  02:29            64.760 pxinsa64.exe
07.04.2009  02:29          551.672 px.dll
07.04.2009  02:29        1.628.920 pxsfs.dll
07.04.2009  02:29          518.904 pxdrv.dll
07.04.2009  02:29            66.296 pxcpya64.exe
07.04.2009  02:28            90.112 dpl100.dll
07.04.2009  02:28          823.296 divx_xx0c.dll
07.04.2009  02:28          802.816 divx_xx11.dll
07.04.2009  02:28          815.104 divx_xx0a.dll
07.04.2009  02:28          684.032 DivX.dll
07.04.2009  02:28          823.296 divx_xx07.dll
06.04.2009  19:04            3.774 jupdate-1.6.0_13-b03.log
03.04.2009  12:39            70.936 PhysXLoader.dll
27.03.2009  10:03          229.376 nvmccs.dll
27.03.2009  10:03        3.796.992 nvvitvs.dll
27.03.2009  10:03            81.920 nvwddi.dll
27.03.2009  10:03        1.724.416 nvwdmcpl.dll
27.03.2009  10:03        1.101.824 nvwimg.dll
27.03.2009  10:03        2.744.320 nvwss.dll
27.03.2009  10:03        1.657.376 nwiz.exe
27.03.2009  10:03            45.056 nvmccsrs.dll
27.03.2009  10:03        3.489.792 nvgames.dll
27.03.2009  10:03        1.346.080 nvdspsch.exe
27.03.2009  10:03        4.710.400 nvdisps.dll
27.03.2009  10:03        1.273.856 nvmobls.dll
27.03.2009  10:03          401.408 nvcuvid.dll
27.03.2009  10:03        1.560.576 nvcuda.dll
27.03.2009  10:03          801.312 nvcplui.exe
27.03.2009  10:03        1.503.232 nview.dll
27.03.2009  10:03        13.684.736 nvcpl.dll
27.03.2009  10:03          420.384 nvcpl.cpl
27.03.2009  10:03          143.360 nvcolor.exe
27.03.2009  10:03          139.264 nvcodins.dll
27.03.2009  10:03          139.264 nvcod.dll
27.03.2009  10:03          449.056 nvappbar.exe
27.03.2009  10:03          667.648 nvapi.dll
27.03.2009  10:03        6.186.880 nv4_disp.dll
27.03.2009  10:03          436.768 keystone.exe
27.03.2009  10:03          188.416 nvmccss.dll
27.03.2009  10:03            73.728 nvtuicpl.cpl
27.03.2009  10:03          163.908 nvsvc32.exe
27.03.2009  10:03          466.944 nvshell.dll
27.03.2009  10:03        9.596.928 nvoglnt.dll
27.03.2009  10:03            19.054 nvdisp.nvu
27.03.2009  10:03        1.253.376 NvPVEnc.ax
27.03.2009  10:03            86.016 nvmctray.dll
21.03.2009  16:06        1.063.424 kernel32.dll
16.03.2009  14:18          235.352 xactengine3_4.dll
16.03.2009  14:18            69.448 XAPOFX1_3.dll
16.03.2009  14:18          517.448 XAudio2_4.dll
16.03.2009  14:18            22.360 X3DAudio1_6.dll
09.03.2009  15:27        1.846.632 D3DCompiler_41.dll
09.03.2009  15:27        4.178.264 D3DX9_41.dll
09.03.2009  15:27          453.456 d3dx10_41.dll
09.03.2009  05:19          144.792 javaw.exe
09.03.2009  05:19          148.888 javaws.exe
09.03.2009  05:19          144.792 java.exe
09.03.2009  05:19          410.984 deploytk.dll
09.03.2009  02:53            73.728 javacpl.cpl
06.03.2009  16:19          286.720 pdh.dll
27.02.2009  06:56          177.152 msctfime.ime
09.02.2009  13:21        2.026.496 ntkrnlpa.exe
09.02.2009  13:21        2.147.840 ntoskrnl.exe
09.02.2009  13:21          111.104 services.exe
09.02.2009  12:51          401.408 rpcss.dll
09.02.2009  12:51          736.768 lsasrv.dll
09.02.2009  12:51          678.400 advapi32.dll
09.02.2009  12:51          740.352 ntdll.dll
06.02.2009  19:52            49.504 sirenacm.dll
06.02.2009  12:39            35.328 sc.exe
03.02.2009  21:57            56.832 secur32.dll

            2170 Datei(en)    602.490.796 Bytes
              0 Verzeichnis(se), 105.253.916.672 Bytes frei
 
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\WINDOWS\Prefetch

12.03.2009  22:18            17.662 LOGONUI.EXE-0AF22957.pf
12.03.2009  22:18            96.710 FIREFOX.EXE-1D57670A.pf
12.03.2009  22:17            21.866 RUNDLL32.EXE-2E5AF1D7.pf
12.03.2009  22:16            30.392 AVWSC.EXE-3AC95876.pf
12.03.2009  22:12            12.318 SSPIPES.SCR-151C97BA.pf
12.03.2009  21:38            95.204 WUAUCLT.EXE-399A8E72.pf
12.03.2009  21:31            63.972 DFRGNTFS.EXE-269967DF.pf
12.03.2009  21:31            16.072 DEFRAG.EXE-273F131E.pf
12.03.2009  21:31          224.148 Layout.ini
12.03.2009  19:40            92.406 WMIPRVSE.EXE-28F301A9.pf
12.03.2009  19:39            63.584 HELPSVC.EXE-2878DDA2.pf
12.03.2009  18:42            67.268 AVNOTIFY.EXE-0B59FC42.pf
12.03.2009  18:42            56.028 UPDATE.EXE-3A80F1D2.pf
12.03.2009  18:42            18.384 PREUPD.EXE-18CBCD87.pf
12.03.2009  17:43            64.082 GOOGLEUPDATER.EXE-36CE3796.pf
12.03.2009  15:04          137.206 ICQ.EXE-15A4C655.pf
12.03.2009  14:53            95.524 ACRODIST.EXE-31C6F71B.pf
12.03.2009  14:53            15.840 ALG.EXE-0F138680.pf
12.03.2009  14:53            26.170 FNPLICENSINGSERVICE.EXE-1A968544.pf
12.03.2009  14:53            18.190 WMIAPSRV.EXE-1E2270A5.pf
12.03.2009  14:53            21.090 IMAPI.EXE-0BF740A4.pf
12.03.2009  14:53            24.062 RUNDLL32.EXE-35A483DA.pf
12.03.2009  14:53            7.786 RAZEROFA.EXE-11D1DDD6.pf
12.03.2009  14:52            17.826 VERCLSID.EXE-3667BD89.pf
12.03.2009  14:52            36.490 AVGNT.EXE-18356F59.pf
12.03.2009  14:52            21.126 GROOVEMONITOR.EXE-27AC1EA0.pf
12.03.2009  14:52            12.008 PNKBSTRA.EXE-188A67A9.pf
12.03.2009  14:52            13.796 VERSIO~2.EXE-298F10B0.pf
12.03.2009  14:52            9.416 BJPSMAIN.EXE-13BB334D.pf
12.03.2009  14:52            11.524 RAZERHID.EXE-2498922B.pf
12.03.2009  14:52            29.334 NWIZ.EXE-2D0F9FBC.pf
12.03.2009  14:52            25.804 RUNDLL32.EXE-415F88EC.pf
12.03.2009  14:52            11.768 ALCMTR.EXE-235F9538.pf
12.03.2009  14:52            70.950 RTHDCPL.EXE-06918CFA.pf
12.03.2009  14:52            37.418 ZLCLIENT.EXE-0120F620.pf
12.03.2009  14:52            25.460 SKYTEL.EXE-12751D3A.pf
12.03.2009  14:52        1.236.416 NTOSBOOT-B00DFAAD.pf
09.03.2009  18:43            7.896 JQSNOTIFY.EXE-1E60A522.pf
09.03.2009  18:34            30.944 AVWSC.EXE-1DC97978.pf
              39 Datei(en)      2.884.140 Bytes
              0 Verzeichnis(se), 105.253.986.304 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\WINDOWS\tasks

03.08.2009  16:37            1.044 Google Software Updater.job
15.03.2009  10:25                6 SA.DAT

              3 Datei(en)          1.115 Bytes
              0 Verzeichnis(se), 105.253.986.304 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\WINDOWS\Temp

03.08.2009  16:39              742 libFNP_events.log
03.08.2009  16:36            16.384 Perflib_Perfdata_2a4.dat
03.08.2009  16:36              256 ZLT01c02.TMP
03.08.2009  16:36              256 ZLT01bfc.TMP
              4 Datei(en)        17.638 Bytes
              0 Verzeichnis(se), 105.253.982.208 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C33-2969

 Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

03.08.2009  18:45                0 etilqs_RLnBUYvprvNaHuuSvmGP
03.08.2009  16:43            10.153 jusched.log
03.08.2009  16:39                0 JET4150.tmp
03.08.2009  16:39            4.079 libFNP_events.log
01.08.2009  18:01                0 gePDB.tmp
01.08.2009  17:55                0 gePDA.tmp
01.08.2009  17:50                0 gePD9.tmp
01.08.2009  17:41            2.817 amt.log
01.08.2009  17:41            4.746 alm.log
01.08.2009  17:37              693 TWAIN.LOG
01.08.2009  17:37                0 Twunk002.MTX
01.08.2009  17:37              156 Twunk001.MTX
01.08.2009  17:37                2 Twain001.Mtx
01.08.2009  16:01          753.664 ftuA6.tmp
01.08.2009  15:54        14.039.386 pPokerSetup.exe
01.08.2009  15:52        1.992.362 Flash_2K_XP_Vista.zip
30.07.2009  12:28        9.247.163 europacasinode.cab
25.07.2009  12:31            1.081 java_install_reg.log
22.07.2009  15:20            3.127 msgpl_422b.tmp
18.07.2009  14:19            22.253 Turkish.bin
18.07.2009  14:19            21.964 Norwegian.bin
18.07.2009  14:19            26.080 Hungarian.bin
18.07.2009  14:19            19.553 Hebrew.bin
18.07.2009  14:19            22.857 Finnish.bin
18.07.2009  14:19            24.312 Czech.bin
18.07.2009  14:19            25.071 Portuguese(Brazil).bin
18.07.2009  14:19            24.221 Polish.bin
18.07.2009  14:19            25.082 Greek.bin
18.07.2009  14:19            21.976 Thai.bin
18.07.2009  14:19            20.972 Arabic.bin
18.07.2009  14:19            16.408 SimChin.bin
18.07.2009  14:19            21.914 English.bin
18.07.2009  14:19            26.260 Portuguese.bin
18.07.2009  14:19            24.082 SWEDISH.bin
18.07.2009  14:19            27.753 Spanish.bin
18.07.2009  14:19            26.126 Russian.bin
18.07.2009  14:19            27.410 Italian.bin
18.07.2009  14:19            25.753 German.bin
18.07.2009  14:19            27.235 French.bin
18.07.2009  14:19            16.949 TradChin.bin
18.07.2009  14:19            25.747 Dutch.bin
18.07.2009  14:19            22.783 Danish.bin
18.07.2009  14:19            20.135 Korean.bin
18.07.2009  14:19            24.297 Japanese.bin

              57 Datei(en)    28.454.758 Bytes
              0 Verzeichnis(se), 105.253.982.208 Bytes frei

ohem 03.08.2009 21:37
4. gmerscan teil 1

Code:
GMER 1.0.15.15011 [x8dqrkd6.exe] - http://www.gmer.net
Rootkit scan 2009-08-03 22:04:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwConnectPort [0xB644E040]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwCreateFile [0xB644A930]
SSDT      BA7B00E6                                                                                                            ZwCreateKey
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwCreatePort [0xB644E510]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwCreateProcess [0xB6454870]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwCreateProcessEx [0xB6454AA0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwCreateSection [0xB6457FD0]
SSDT      BA7B00DC                                                                                                            ZwCreateThread
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwCreateWaitablePort [0xB644E600]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwDeleteFile [0xB644AF20]
SSDT      BA7B00EB                                                                                                            ZwDeleteKey
SSDT      BA7B00F5                                                                                                            ZwDeleteValueKey
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwDuplicateObject [0xB6454580]
SSDT      spyp.sys                                                                                                            ZwEnumerateKey [0xB9EC5CA4]
SSDT      spyp.sys                                                                                                            ZwEnumerateValueKey [0xB9EC6032]
SSDT      BA7B00FA                                                                                                            ZwLoadKey
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwOpenFile [0xB644AD70]
SSDT      spyp.sys                                                                                                            ZwOpenKey [0xB9EA70C0]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwOpenProcess [0xB6454350]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwOpenThread [0xB6454150]
SSDT      spyp.sys                                                                                                            ZwQueryKey [0xB9EC610A]
SSDT      spyp.sys                                                                                                            ZwQueryValueKey [0xB9EC5F8A]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwRenameKey [0xB6457250]
SSDT      BA7B0104                                                                                                            ZwReplaceKey
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwRequestWaitReplyPort [0xB644DC00]
SSDT      BA7B00FF                                                                                                            ZwRestoreKey
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwSecureConnectPort [0xB644E220]
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwSetInformationFile [0xB644B120]
SSDT      BA7B00F0                                                                                                            ZwSetValueKey
SSDT      \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                          ZwTerminateProcess [0xB6454CD0]

INT 0x62  ?                                                                                                                    8ADD2BF8
INT 0x73  ?                                                                                                                    8ABC8F00
INT 0x83  ?                                                                                                                    8ADD2BF8
INT 0xB4  ?                                                                                                                    8ABC8F00

---- Kernel code sections - GMER 1.0.15 ----

.text    ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                                80504518 12 Bytes  [10, E5, 44, B6, 70, 48, 45, ...]
?        spyp.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
?        srescan.sys                                                                                                          Das System kann die angegebene Datei nicht finden. !
.text    USBPORT.SYS!DllUnload                                                                                                B93AF8AC 5 Bytes  JMP 8ABC84E0
.text    an9snz3h.SYS                                                                                                        B8CC4386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text    an9snz3h.SYS                                                                                                        B8CC43AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text    an9snz3h.SYS                                                                                                        B8CC43C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text    an9snz3h.SYS                                                                                                        B8CC43C9 1 Byte  [30]
.text    an9snz3h.SYS                                                                                                        B8CC43C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text    ...                                                                                                                 

---- User code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\system32\winlogon.exe[772] ntdll.dll!NtLockProductActivationKeys                                          7C91D4AE 5 Bytes  JMP 10001000 C:\WINDOWS\system32\antiwpa.dll
.text    C:\WINDOWS\system32\winlogon.exe[772] USER32.dll!GetSystemMetrics                                                    7E368F9C 5 Bytes  JMP 10001018 C:\WINDOWS\system32\antiwpa.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT      atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [B9EA8042] spyp.sys
IAT      atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [B9EA813E] spyp.sys
IAT      atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B9EA80C0] spyp.sys
IAT      atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B9EA8800] spyp.sys
IAT      atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B9EA86D6] spyp.sys
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C8D9E88
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!KeGetCurrentIrql]                                                  9E880000
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!KfRaiseIrql]                                                      00001CA9
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!HalTranslateBusAddress]                                            8186C636
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8386C6
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!READ_PORT_USHORT]                                                  001C8E86
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          86C60200
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  00001CAA
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT      \SystemRoot\System32\Drivers\an9snz3h.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB19E
IAT      \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                            [B6452CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                  [B64531C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                [B6453320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [B6452E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [B6452E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                              [B6452CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                    [B64531C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                  [B6453320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                              [B6452CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                            [B6452E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                  [B6453320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                  [B64531C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                    [B6453320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [B64531C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                [B6452CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [B6452E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [B6452CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                    [B64531C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [B6453320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                              [B6452CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [B6452E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                  [B6453320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT      \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                  [B64531C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

ohem 03.08.2009 21:40
4.gmerscan teil 2

Code:
---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                              8ADD11F8
Device    \FileSystem\Udfs \UdfsCdRom                                                                                          8A5FC1F8
Device    \FileSystem\Udfs \UdfsDisk                                                                                          8A5FC1F8
Device    \Driver\Tcpip \Device\Ip                                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device    \Driver\NetBT \Device\NetBT_Tcpip_{C5DDD947-6438-4393-856E-8E013F101F99}                                            8A7A01F8
Device    \Driver\usbohci \Device\USBPDO-0                                                                                    8AB98500
Device    \Driver\usbehci \Device\USBPDO-1                                                                                    8ABAF500
Device    \Driver\NetBT \Device\NetBT_Tcpip_{5E4A9ACB-240F-4C47-9EBC-2838276CB930}                                            8A7A01F8
Device    \Driver\Tcpip \Device\Tcp                                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                              8AE441F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                              8AE441F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                        8ABAC500
Device    \Driver\Cdrom \Device\CdRom1                                                                                        8ABAC500
Device    \Driver\Cdrom \Device\CdRom2                                                                                        8ABAC500
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                              8A7A01F8
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                    8A7A01F8
Device    \Driver\PCI_PNP2266 \Device\0000004c                                                                                spyp.sys
Device    \Driver\Tcpip \Device\Udp                                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device    \Driver\Tcpip \Device\RawIp                                                                                          vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device    \Driver\sptd \Device\3063317266                                                                                      spyp.sys
Device    \Driver\usbohci \Device\USBFDO-0                                                                                    8AB98500
Device    \Driver\usbehci \Device\USBFDO-1                                                                                    8ABAF500
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    8A6251F8
Device    \Driver\Tcpip \Device\IPMULTICAST                                                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          8A6251F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                    8AE441F8
Device    \Driver\an9snz3h \Device\Scsi\an9snz3h1Port4Path0Target0Lun0                                                        8AB67500
Device    \Driver\an9snz3h \Device\Scsi\an9snz3h1                                                                              8AB67500
Device    \FileSystem\Cdfs \Cdfs                                                                                              8A6221F8

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  C:\Programme\DAEMON Tools Lite\
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x65 0x34 0xA2 0xD0 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0x27 0xEE 0xC7 0x5F ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xB5 0x03 0x8A 0x20 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0x8A 0x4D 0x84 0x2D ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0xCA 0x7A 0x95 0xA7 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x03 0xE8 0x2F 0xFB ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x12 0x23 0x4E 0x53 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xCA 0x7A 0x95 0xA7 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xFC 0x6D 0x0F 0x7A ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      1
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x65 0x34 0xA2 0xD0 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x27 0xEE 0xC7 0x5F ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xB5 0x03 0x8A 0x20 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x8A 0x4D 0x84 0x2D ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xCA 0x7A 0x95 0xA7 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x03 0xE8 0x2F 0xFB ...

---- EOF - GMER 1.0.15 ----
sorry das es soviele posts geworden sind aber ich hab es nicht anders hibekommen...

mfg ohem

kira 03.08.2009 21:53
hi

Du hast Dir da etwas unschönes aus der "Familie Smidfraud" eingefangen:o
Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest:

1.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
2. auf deinem Desktop speichern
3. per Doppelklick SDFix.exe starten
4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
6. öffne den neu entstandenen SDFix Ordner
7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
8. gib ein Y ein, um den Reinigungsprozess zu beginnen
9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Zitat:
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
4.
poste erneut:
Trend Micro HijackThis-Logfile

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

ohem 06.08.2009 09:27
ok ich hab jez wie empfohlen alles neuinstalliert. ich denke damit ist das problem dann endgültig weg. danke für deine hilfe.
mfg ohem


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19