Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Koobface + services.exe absturz pp11.exe ld12.exe etc (https://www.trojaner-board.de/76755-koobface-services-exe-absturz-pp11-exe-ld12-exe-etc.html)

nerd_90 25.08.2009 17:31
Koobface + services.exe absturz pp11.exe ld12.exe etc
 
Kaspersky Online Scan Logfile:
Code:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cert8.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\key3.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\parent.lock        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\search.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\signons.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip/97157.exe        Infizierte Objekte: Trojan-Spy.Win32.VB.bry        übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip        ZIP: infiziert - 1        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\etilqs_DYSNgjamYq8pRHbyUY5I        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\478276326d96611696b3f3db4b9a147d_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\88a74bee54e210cdb56f8063e61f0f34_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\965f782d1d2fec962d698a1fb637dffe_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b8c70f57e5ce4f6fc4fb99fc17082d3e_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1396.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1544.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1636.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1776.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1780.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1784.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1788.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1796.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1800.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1804.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1808.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1816.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1836.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1840.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1844.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1848.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1852.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1868.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1904.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1936.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1944.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1960.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1992.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2000.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2300.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2476.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2880.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3236.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-324.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3708.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3728.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3744.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3940.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3988.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-4008.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-432.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-440.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-452.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-464.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-520.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-5684.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-796.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\~TM118.tmp        Infizierte Objekte: Backdoor.Win32.Bredolab.ho        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085158.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085168.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085169.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085170.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085171.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085255.exe        Infizierte Objekte: Backdoor.Win32.Poison.pg        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085770.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/heaplib.js.b64        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/.svn/text-base/heaplib.js.b64.svn-base        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe        NSIS: infiziert - 4        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085934.exe        Infizierte Objekte: Backdoor.Win32.Poison.pg        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086120.exe        Infizierte Objekte: Trojan.Win32.TDSS.alry        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086321.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086322.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086592.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0002        Infizierte Objekte: Constructor.Win32.Binder.az        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0003        Infizierte Objekte: Trojan-Spy.Win32.Agent.bff        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe        NSIS: infiziert - 2        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086682.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086756.exe        Infizierte Objekte: Net-Worm.Win32.Mytob.re        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086760.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086802.exe        Infizierte Objekte: Packed.Win32.CPEX-based.ge        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087039.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087067.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mol        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087068.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087079.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087090.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mnw        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087099.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mmy        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087137.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mmy        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087147.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mja        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087150.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mja        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087163.exe        Infizierte Objekte: Trojan.Win32.FraudPack.miq        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087193.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mif        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087196.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mgz        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087210.exe        Infizierte Objekte: Trojan-Downloader.Win32.PepperPaper.fo        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087222.exe        Infizierte Objekte: Trojan.Win32.FraudPack.meb        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087245.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mdp        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087248.exe        Infizierte Objekte: Trojan.Win32.FraudPack.lyi        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087279.exe        Infizierte Objekte: Trojan.Win32.FraudPack.lwp        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087344.exe        Infizierte Objekte: Trojan.Win32.FraudPack.ltv        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087349.exe        Infizierte Objekte: Trojan-Downloader.Win32.Agent.bxoj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087357.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087381.exe        Infizierte Objekte: Trojan.Win32.FraudPack.lsx        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087434.exe        Infizierte Objekte: Packed.Win32.Tdss.f        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087459.exe        Infizierte Objekte: Packed.Win32.Tdss.f        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087471.exe        Infizierte Objekte: Trojan.Win32.Qhost.llo        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087634.exe        Infizierte Objekte: Trojan.Win32.TDSS.zng        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087682.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087791.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089020.exe        Infizierte Objekte: Backdoor.Win32.Poison.pg        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089212.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089213.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089335.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089336.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090342.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090343.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090360.exe        Infizierte Objekte: Trojan-Spy.Win32.VB.bry        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090765.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090766.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\CSC\00000001        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\dllcache\ntfs.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\WINDOWS\system32\drivers\ntfs.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\WINDOWS\system32\msgrssvnt32.exe        Infizierte Objekte: Trojan.Win32.VB.jkl        übersprungen
C:\WINDOWS\system32\msvdx86.aqmgu        Infizierte Objekte: Rootkit.Win32.Agent.pky        übersprungen
C:\WINDOWS\system32\sdhjch        Infizierte Objekte: Trojan.Win32.Monderb.eog        übersprungen
C:\WINDOWS\system32\system3280988.rar/awtqoPhH.dll        Infizierte Objekte: Trojan.Win32.Monderb.eog        übersprungen
C:\WINDOWS\system32\system3280988.rar/pmnnLDTM.dll        Infizierte Objekte: Trojan.Win32.Monderb.eog        übersprungen
C:\WINDOWS\system32\system3280988.rar        RAR: infiziert - 2        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
//nochmal mit spybot search & destroy am scannen

nerd_90 25.08.2009 18:18
Kaspersky Online Scan Logfile:
Code:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cert8.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\key3.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\parent.lock        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\search.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\signons.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip/97157.exe        Infizierte Objekte: Trojan-Spy.Win32.VB.bry        übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip        ZIP: infiziert - 1        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\etilqs_DYSNgjamYq8pRHbyUY5I        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\478276326d96611696b3f3db4b9a147d_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\88a74bee54e210cdb56f8063e61f0f34_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\965f782d1d2fec962d698a1fb637dffe_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b8c70f57e5ce4f6fc4fb99fc17082d3e_8e23dfb3-0f22-430f-8b83-b49cc977b953        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1396.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1544.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1636.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1776.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1780.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1784.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1788.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1796.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1800.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1804.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1808.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1816.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1836.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1840.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1844.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1848.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1852.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1868.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1904.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1936.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1944.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1960.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1992.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2000.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2300.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2476.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2880.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3236.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-324.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3708.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3744.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3940.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3988.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-4008.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-432.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-440.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-452.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-464.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-520.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-5684.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-796.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\~TM118.tmp        Infizierte Objekte: Backdoor.Win32.Bredolab.ho        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085158.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085168.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085169.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085170.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085171.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085255.exe        Infizierte Objekte: Backdoor.Win32.Poison.pg        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085770.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/heaplib.js.b64        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/.svn/text-base/heaplib.js.b64.svn-base        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream        Infizierte Objekte: Trojan-Downloader.JS.Agent.gj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe        NSIS: infiziert - 4        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085934.exe        Infizierte Objekte: Backdoor.Win32.Poison.pg        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086120.exe        Infizierte Objekte: Trojan.Win32.TDSS.alry        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086321.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086322.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086592.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0002        Infizierte Objekte: Constructor.Win32.Binder.az        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0003        Infizierte Objekte: Trojan-Spy.Win32.Agent.bff        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe        NSIS: infiziert - 2        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086682.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086756.exe        Infizierte Objekte: Net-Worm.Win32.Mytob.re        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086760.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086802.exe        Infizierte Objekte: Packed.Win32.CPEX-based.ge        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087039.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087067.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mol        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087068.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087079.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087090.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mnw        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087099.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mmy        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087137.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mmy        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087147.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mja        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087150.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mja        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087163.exe        Infizierte Objekte: Trojan.Win32.FraudPack.miq        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087193.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mif        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087196.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mgz        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087210.exe        Infizierte Objekte: Trojan-Downloader.Win32.PepperPaper.fo        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087222.exe        Infizierte Objekte: Trojan.Win32.FraudPack.meb        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087245.exe        Infizierte Objekte: Trojan.Win32.FraudPack.mdp        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087248.exe        Infizierte Objekte: Trojan.Win32.FraudPack.lyi        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087279.exe        Infizierte Objekte: Trojan.Win32.FraudPack.lwp        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087344.exe        Infizierte Objekte: Trojan.Win32.FraudPack.ltv        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087349.exe        Infizierte Objekte: Trojan-Downloader.Win32.Agent.bxoj        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087357.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087381.exe        Infizierte Objekte: Trojan.Win32.FraudPack.lsx        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087434.exe        Infizierte Objekte: Packed.Win32.Tdss.f        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087459.exe        Infizierte Objekte: Packed.Win32.Tdss.f        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087471.exe        Infizierte Objekte: Trojan.Win32.Qhost.llo        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087634.exe        Infizierte Objekte: Trojan.Win32.TDSS.zng        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087682.exe        Infizierte Objekte: Virus.Win32.Virut.ce        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087791.exe        Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089020.exe        Infizierte Objekte: Backdoor.Win32.Poison.pg        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089212.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089213.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089335.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089336.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090342.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090343.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090360.exe        Infizierte Objekte: Trojan-Spy.Win32.VB.bry        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090765.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090766.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\CSC\00000001        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\dllcache\ntfs.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\WINDOWS\system32\drivers\ntfs.sys        Infizierte Objekte: Virus.Win32.Protector.c        übersprungen
C:\WINDOWS\system32\msgrssvnt32.exe        Infizierte Objekte: Trojan.Win32.VB.jkl        übersprungen
C:\WINDOWS\system32\msvdx86.aqmgu        Infizierte Objekte: Rootkit.Win32.Agent.pky        übersprungen
C:\WINDOWS\system32\sdhjch        Infizierte Objekte: Trojan.Win32.Monderb.eog        übersprungen
C:\WINDOWS\system32\system3280988.rar/awtqoPhH.dll        Infizierte Objekte: Trojan.Win32.Monderb.eog        übersprungen
C:\WINDOWS\system32\system3280988.rar/pmnnLDTM.dll        Infizierte Objekte: Trojan.Win32.Monderb.eog        übersprungen
C:\WINDOWS\system32\system3280988.rar        RAR: infiziert - 2        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

nerd_90 25.08.2009 18:43
spybot search & destroy hat nix mehr gefunden.

naja danke schonmal
//seltsam posts falsch?

So nunmal zu meinem Problem.

Gestern bemerkte ich das Koobface (ld12.exe) sich seltsamerweise auf meinem System befindet.Beim ersten Booten des systems habe ich bemerkt,das die firefox.exe nicht mehr vorhanden war,hab dann in den taskmgr geschaut und bemerkt das ld12.exe aktiv ist.
hab dann ld12.exe im abgesicherten modus entfernt.
und malwarebytes drüberlaufen lassen.
alles in quaratäne geschoben+deleted.

so nun hab ich versucht im normalen modus zu starten und dann bin ich nicht weiter gekommen als services.exe musste beendet werden blabla.gefolgt von einem zwangsreboot.nunja jetzt hab ich mir über abgesicherten modus mit netzwerkunterstützung firefox draufgeschmissen,und suche hier nach hilfe. (möglisch ohne neuaufsetzung des systems). Used winversion. XP prof sp2

hab schon oft mit malware kämpfen müssen,aber habs bisher alles ohne hilfe geschafft. naja hoffe hier finden sich helfer,die dafür bereit sind.

HJT Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44:28, on 25.8.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 89.149.209.11 3xlcash.tut
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [vmware-tray] E:\Programme\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "E:\Programme\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [wmagent.exe] "C:\Programme\WebMoney Agent\wmagent.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "E:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.wmtransfer.com/WMAcceptor.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200789413515
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: awtqoPhH - C:\WINDOWS\
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acunetix WVS Scheduler (AcuWVSScheduler) - Acunetix Ltd. - C:\Programme\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe
O23 - Service: Acunetix WVS Scheduler v5 (AcuWVSSchedulerv5) - Acunetix Ltd. - C:\Programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe
O23 - Service: Apache2.2 - Apache Software Foundation - E:\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PMBot 2 (pmbot2) - The PHP Group - E:\xampp\php\php.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - e:\xampp\service.exe

--
End of file - 7831 bytes
Malwarebyteslog 1:
Code:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2690
Windows 5.1.2600 Service Pack 2 (Safe Mode)

24.8.2009 23:07:07
mbam-log-2009-08-24 (23-07-07).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|H:\|)
Durchsuchte Objekte: 158176
Laufzeit: 30 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 70

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:

C:\Dokumente und Einstellungen\Lux\Desktop\BITS Downloader\found\ld12.exfe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085210.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085253.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085254.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085358.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085360.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085376.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085377.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085634.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085648.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085649.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085664.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085677.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085680.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085771.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085787.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085801.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085802.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085803.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085804.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085822.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085832.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085856.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085861.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085935.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085936.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085939.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086144.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086217.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086247.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086254.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086315.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086327.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086402.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086424.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086446.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086488.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086490.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086491.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086545.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086583.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086605.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086606.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086614.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086625.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086696.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086716.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086757.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086788.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086862.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086865.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086903.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086917.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086942.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086984.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087013.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087038.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087058.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089012.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089013.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089019.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089021.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089023.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089121.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089223.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvtx86.aqmgu (Rootkit.Agent.C) -> Quarantined and deleted successfully.
E:\myterous exe's\ld12.exfe (Worm.Koobface) -> Quarantined and deleted successfully.
E:\myterous exe's\pp11.exfe (Worm.KoobFace) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089014.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089015.exe (Trojan.TDSS) -> Quarantined and deleted successfully.

nerd_90 26.08.2009 18:58
rootkit hook analyzer:
http://hardcorezuelpich.ha.ohost.de/rootkithookanalyzer.txt

leider zu groß für hier

rootkit anylizer (module):
http://hardcorezuelpich.ha.ohost.de/export-module.txt

sanitycheck:
Code:
--------------------------------------------------------------------------------
Welcome to SanityCheck 1.02
--------------------------------------------------------------------------------

This program does a thorough check on your system to look for irregularities which are typically the work of rootkits, viruses and other malware. This software goes to great lengths to check your system for hidden processes, hidden drivers, hidden threads and detects many different types of hooks, hacks and hijacks.

Note that certain irregularities may be the work of antivirus or another security product that you have installed. This is because security software itself often makes use of the same controversial techniques which are normally associated with malware. This is why it is recommended to first disable all antivirus, antispyware, firewall and other security software which may be running on your system.

In case any irregularities are found the report will attempt to find a responsbile process or module and offer suggestions on how to proceed in the investigation.

Note that although this software creates a comprehensible report it is not intended for absolute novice users who do not have not any type of idea about the software that is installed and running on their systems.


SanityCheck will do great efforts to detect:


Hidden processes

Processes with spoofed names

Processes attempting to appear as standard Windows processes

Processes with obviously deceptive names

Processes without product, company and description information

Valid signatures in processes and kernel modules

Intercepted system services and the modules reponsible

Intercepted kernel routines and the modules reponsible

Intercepted kernel object callout routines and the modules reponsible

Hidden drivers

Drivers with intercepted dispatch entry points





--------------------------------------------------------------------------------
Home Edition notice
--------------------------------------------------------------------------------

This version of SanityCheck is free for use at home only. If you would like to use this software at work or in a commercial environment you should get the professional edition. The professional edition of SanityCheck does a more thorough and detailed analysis than the home edition.

To find out more information about the operations of SanityCheck, visit www.resplendence.com/sanity

To obtain technical support visit www.resplendence.com/support

To check if a newer version of SanityCheck is available, click here.


Click the Analyze button to start analyzing your system...




--------------------------------------------------------------------------------
Analysis
--------------------------------------------------------------------------------

Analyzing your system ...

Processes are running without company, product and description information

One or more processes have been detected which have not registered any company, product and description information. This is not necessarily the work of a virus or malware but does raise a flag of suspicion. It is suggested you find out what this process belongs to and why it is running on your system.


The process wmagent.exe does not have any product, company or description information.

Information about the responsible process wmagent.exe:

file path: C:\programme\webmoney agent\wmagent.exe
Click here to do a Google search on wmagent.exe


--------------------------------------------------------------------------------


System routines are being intercepted

One or more system services are being intercepted on your system. This could be initiated by a rootkit or malware but there is also the possibility a security product is responsible for this. With the indications given you should find out if this is the work of a product that you have installed deliberately or not. Note that these SSDT hooks are very notorious because they rely on undocumented techniques and are incredibly difficult to implement right for a programmer. Even if they are installed by a legitimate product, these hooks very often are the cause of sudden unexpected reboots, blue screens, hangups and other misery. If you have more than one product installed which makes use of these techniques then your system is almost sure to be messed up.


The module 48826291.sys is hooking the kernel to intercept base system services.

Information about the responsible module 48826291.sys:

file path: C:\WINDOWS\system32\drivers\48826291.sys
Click here to do a Google search on 48826291.sys


--------------------------------------------------------------------------------


Some driver entry points are being hijacked by other modules



Module 48826291.sys is overwriting one or more dispatch entry points of other drivers running in the system. This controversial technique could be the work of malware running in the system but it could also be the work of legitimate software.

Information about the responsible module 48826291.sys:

file path: C:\WINDOWS\system32\drivers\48826291.sys
Click here to do a Google search on 48826291.sys


--------------------------------------------------------------------------------


Object type callout routines are hijacked

Hijacking object type callouts is a very controversial technique which is typically the work of a rootkit or other malware. There is no reason for normal software to make use of this technique. It can give the reponsbile module complete control over any type of kernel object which include files, registry keys, processes and threads.


Object type callouts have been hijacked for the following objects: Key.


Information about the responsible module 48826291.sys:

file path: C:\WINDOWS\system32\drivers\48826291.sys
Click here to do a Google search on 48826291.sys






--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------

Irregularites have been detected which are typically the work of malware. We suggest that you locate the above mentioned files and do a search on them with Google for finding solutions to the detected problems. Possibly a virus scanner may be able to remove these problems but you can be only completely sure about a clean system if you format your harddrive and reinstall Windows from the original CD.

As always, we suggest you use a good antivirus scanner which does not make use of any controversial techniques and always practice caution when downloading files and opening email attachments.

Note that is is not always possible to make a clear distinction between malware and legitimate products. This is because certain legitimate products resort to agressive controversial techniques as an anti-piracy measure, to avoid debugging or for anti-competetive purposes. Antivirus or other security software may be making use of rootkit-like techniques in an attempt to hide itself from malware. Worse, such products may be involved in a controversial race along the lines of "defeat evil with its own weapons".


About your system:

Windows version: Windows XP Service Pack 2, 5.1, build: 2600
Windows dir: C:\WINDOWS
CPU: AuthenticAMD AMD Athlon(tm) 64 X2 Dual Core Processor 4600+ AMD586, level: 15
2 logical processors, active mask: 3
RAM: 2011607040 total

Report generated on 26.08.2009 17:44:34

nerd_90 27.08.2009 15:39
keiner da der hilfe geben kann?

nerd_90 28.08.2009 15:52
RSIT Logs: http://hardcorezuelpich.ha.ohost.de/rsit/

nerd_90 28.08.2009 18:24
hier noch der GMER log:
http://hardcorezuelpich.ha.ohost.de/gmer.log

nach jedem reboot und anschließendem scan mit mbam folgende plagegeister:

Code:
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

nerd_90 02.09.2009 12:56
Problem mit services.exe besteht weiterhin.
Beim normalen Windows Start

Keiner da der mir iwie helfen kann?

Kommt immer diese Meldung beim Normal start: Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.2180, fehlgeschlagenes Modul services.exe, Version 5.1.2600.2180, Fehleradresse 0x00008e40.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

nerd_90 18.09.2009 17:09
hier mal ein aktueller gmer scan:
stand anfang nur ntfs.sys irgendwas^^
und ein aktueller malwarebytes scan:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 2 (Safe Mode)

18.9.2009 15:47:20
mbam-log-2009-09-18 (15-47-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 188230
Laufzeit: 24 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094698.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094699.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094700.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094703.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

nerd_90 20.09.2009 18:47
ich brauch hilfe.kann hier keiner helfen,hab grad mit root repeal gescannt und der sagt irgendwas mit svchost sogar unter abgesicherter modus
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/09/20 19:42
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xBA26B000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79AB000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB9C51000 Size: 49152 File Visible: No Signed: -
Status: -

Stealth Objects
-------------------
Object: Hidden Module [Name: svchost.exe]
Process: svchost.exe (PID: 1284) Address: 0x01000000 Size: 20480

==EOF==

hab dann mal tcpview angemacht,und sehe einigen ausgehenden traffic von diesem process,ihn zu beenden war aber leider nicht möglisch
hat sich direkt neugeöffnet

brauche dringend hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19