Trojaner-Board - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? (https://www.trojaner-board.de/77015-sauberes-xp-entfernen-400-schaedlingen-v-a-trojaner.html)

Hallo,

nachdem ich alle Daten auf 13 DVDs gesichert habe (externe Festplatten sind hier in Russland wahnsinnig teuer), konnte ich nun endlich GMER durchlaufen lassen.
Beim ersten Versuch wollte ich die Laufwerke C und D durchsuchen lassen, doch nach 40 Min. hat sich Windows nach einem schwerwiegenden Systemfehler neugestartet. Daraufhin habe ich dann GMER nur C durchsuchen lassen, was relativ schnell ging und mir folgenden Log ausgespuckt hat (leider mit Rootkit-Fund :koch:):

Code:

GMER 1.0.15.15077 [wqew7rip.exe] - h**p://www.gmer.net

Rootkit scan 2009-09-03 14:17:16

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT     F8C57EAE                                                                                                                                                                                                 ZwCreateKey

SSDT     F8C57EA4                                                                                                                                                                                                 ZwCreateThread

SSDT     F8C57EB3                                                                                                                                                                                                 ZwDeleteKey

SSDT     F8C57EBD                                                                                                                                                                                                 ZwDeleteValueKey

SSDT     F8C57EC2                                                                                                                                                                                                 ZwLoadKey

SSDT     F8C57E90                                                                                                                                                                                                 ZwOpenProcess

SSDT     F8C57E95                                                                                                                                                                                                 ZwOpenThread

SSDT     F8C57ECC                                                                                                                                                                                                 ZwReplaceKey

SSDT     F8C57EC7                                                                                                                                                                                                 ZwRestoreKey

SSDT     F8C57EB8                                                                                                                                                                                                 ZwSetValueKey

SSDT     F8C57E9F                                                                                                                                                                                                 ZwTerminateProcess
 

---- Services - GMER 1.0.15 ----
 

Service  C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                                                                                                        [AUTO] wfccfw                                                                                                                                                                                        <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                         1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                            1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                              1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                           1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                       1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                    1?

Reg      HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4  1?2?

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@DisplayName                                                                                                                                                System Helper

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Type                                                                                                                                                       32

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Start                                                                                                                                                      2

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ErrorControl                                                                                                                                               0

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ImagePath                                                                                                                                                  %SystemRoot%\system32\svchost.exe -k netsvcs

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ObjectName                                                                                                                                                 LocalSystem

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Description                                                                                                                                                ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????.  ?????????? ??????????? ?? ???????  ''COM+ ????????? ???????'', ???????? ??????????.

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters                                                                                                                                                 

Reg      HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters@ServiceDll                                                                                                                                      C:\WINDOWS\system32\sqccyf.dll

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                             1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                               1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                           1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?

Reg      HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?2?

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@DisplayName                                                                                                                                                    System Helper

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@Type                                                                                                                                                           32

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@Start                                                                                                                                                          2

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@ErrorControl                                                                                                                                                   0

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@ImagePath                                                                                                                                                      %SystemRoot%\system32\svchost.exe -k netsvcs

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@ObjectName                                                                                                                                                     LocalSystem

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw@Description                                                                                                                                                    ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????.  ?????????? ??????????? ?? ???????  ''COM+ ????????? ???????'', ???????? ??????????.

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters (not active ControlSet)                                                                                                                             

Reg      HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters@ServiceDll                                                                                                                                          C:\WINDOWS\system32\sqccyf.dll
 

---- EOF - GMER 1.0.15 ----

So, wie sehen denn jetzt die naechsten Schritte aus? Jetzt muss ich wohl doch mit haerteren Mitteln ran....

Danke fuer die Hilfe!
Sonja

Lade mal diese Datei:

Zitat:

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

bei VirusTotal - Free Online Virus and Malware Scan hoch. Kopiere das Resultat hier rein.

smlogsvc.exe - Virustotal-Report

Here we go...

Code:

 

File smlogsvc.exe received on 2009.09.03 17:11:55 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 0/41 (0%)
 

Antivirus          Version          Last Update          Result

a-squared        4.5.0.24        2009.09.03        -

AhnLab-V3        5.0.0.2        2009.09.03        -

AntiVir        7.9.1.8        2009.09.03        -

Antiy-AVL        2.0.3.7        2009.09.03        -

Authentium        5.1.2.4        2009.09.03        -

Avast        4.8.1335.0        2009.09.03        -

AVG        8.5.0.409        2009.09.03        -

BitDefender        7.2        2009.09.03        -

CAT-QuickHeal        10.00        2009.09.02        -

ClamAV        0.94.1        2009.09.03        -

Comodo        2196        2009.09.03        -

DrWeb        5.0.0.12182        2009.09.03        -

eSafe        7.0.17.0        2009.09.03        -

eTrust-Vet        31.6.6718        2009.09.03        -

F-Prot        4.5.1.85        2009.09.03        -

F-Secure        8.0.14470.0        2009.09.03        -

Fortinet        3.120.0.0        2009.09.03        -

GData        19        2009.09.03        -

Ikarus        T3.1.1.72.0        2009.09.03        -

Jiangmin        11.0.800        2009.09.03        -

K7AntiVirus        7.10.835        2009.09.03        -

Kaspersky        7.0.0.125        2009.09.03        -

McAfee        5730        2009.09.03        -

McAfee+Artemis        5730        2009.09.03        -

McAfee-GW-Edition        6.8.5        2009.09.03        -

Microsoft        1.5005        2009.09.03        -

NOD32        4392        2009.09.03        -

Norman        6.01.09        2009.09.02        -

nProtect        2009.1.8.0        2009.09.03        -

Panda        10.0.2.2        2009.09.03        -

PCTools        4.4.2.0        2009.09.03        -

Prevx        3.0        2009.09.03        -

Rising        21.45.14.00        2009.09.01        -

Sophos        4.45.0        2009.09.03        -

Sunbelt        3.2.1858.2        2009.09.02        -

Symantec        1.4.4.12        2009.09.03        -

TheHacker        6.3.4.3.396        2009.09.03        -

TrendMicro        8.950.0.1094        2009.09.03        -

VBA32        3.12.10.10        2009.09.03        -

ViRobot        2009.9.3.1916        2009.09.03        -

VirusBuster        4.6.5.0        2009.09.03        -
 

Additional information

File size: 91648 bytes

MD5...: 0122a6025e708fd8c60bf041dffd933f

SHA1..: 213e2308a69a44f7247ecce8056f99a28dc26b1c

SHA256: 95cfa43b380d158c33f36075701a7f9d439fb0a139e4a1e068a3885ebf98f520

ssdeep: 1536:vS2t2mgA1b0GyMw1V0oAjGw97Qime5l7l+aK3xGgss8UwYqu:vtvePyG0E9

4l+amGgss8Qqu

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x9963

timedatestamp.....: 0x41107b42 (Wed Aug 04 05:59:30 2004)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1064e 0x10800 6.47 7dc4278423b780c246709e70479497cb

.data 0x12000 0x2394 0xa00 4.06 27291e4880e6429386c21d058f932a90

.rsrc 0x15000 0x4e90 0x5000 4.00 445084bf64afd5d139623fdc0002820f
 

( 7 imports )

> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, ReportEventW, RegSetValueExW, SetServiceStatus, RegEnumKeyExW, QueryTraceW, CreateProcessAsUserW, UpdateTraceW, DeregisterEventSource, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, RegisterEventSourceW, ControlService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, StopTraceW, EnableTrace, StartTraceW, WmiNotificationRegistrationW

> KERNEL32.dll: FormatMessageW, LoadLibraryW, lstrcpyW, HeapFree, lstrlenW, HeapAlloc, GetProcessHeap, CloseHandle, GetLastError, CreateFileW, SetErrorMode, ExpandEnvironmentStringsW, SystemTimeToFileTime, GetLocalTime, EnterCriticalSection, LeaveCriticalSection, WaitForSingleObject, lstrcmpiW, CreateDirectoryW, GetFullPathNameW, lstrcpynW, CreateProcessW, SetEvent, CreateThread, CreateEventW, GetSystemTimeAsFileTime, DeleteCriticalSection, WaitForMultipleObjects, ResetEvent, Sleep, InitializeCriticalSection, FreeLibrary, lstrcatW, SetLastError, SetThreadPriority, GetCurrentThread, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetCommandLineA, GetVersionExA, WideCharToMultiByte, ExitProcess, GetProcAddress, GetModuleHandleA, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, VirtualProtect, GetSystemInfo, VirtualQuery, MultiByteToWideChar, LCMapStringA, LCMapStringW, RtlUnwind, InterlockedExchange, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, SetStdHandle, FlushFileBuffers, GetModuleHandleW

> USER32.dll: LoadStringW

> ntdll.dll: NtWaitForSingleObject, NtWaitForMultipleObjects

> NETAPI32.dll: NetMessageBufferSend

> SHLWAPI.dll: -

> pdh.dll: PdhPlaGetLogFileNameW, PdhPlaGetInfoW, PdhiPlaRunAs, PdhSetDefaultRealTimeDataSource, PdhAddCounterW, PdhAdd009CounterW, PdhGetFormattedCounterValue, PdhCollectQueryData, PdhCloseQuery, PdhOpenQueryH, PdhGetLogFileSize, PdhCloseLog, PdhUpdateLogW, PdhOpenLogW, PdhExpandWildCardPathW, PdhParseCounterPathW, PdhiPlaFormatBlanksW
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

Ich sollte vielleicht noch erwaehnen, dass ich hier von einer Ubuntu-9.04-LiveDVD aus agiere (ich hatte leider erst heute diese simple, aber sehr wirksame Idee). Weiss nicht, ob das was ausmacht, aber mir bereitet es grosse Freude, endlich wieder ein Linux in Griffweite zu haben! :singsing:

Noch was anderes: die beiden von dir beanstandeten tmp-Dateien scheinen zum Conficker-Wurm gehoert zu haben (ich waehle hier die Vergangenheitsform, da Mbam Conficker "entfernt" hat, die Dienste gestopt sind und mir als Dateigroesse 0 kb angegeben wird, weshalb ich die Dateien auch nicht bei virustotal pruefen lassen konnte).

Am meisten Sorgen machen mir die ganzen aktivierten Windows-Remote-Control-Dienste, die eigentlich aufgrund Deaktivierung nicht laufen duerften. Vlt. ein Backdoor?

Greetz,
Sonja

Hallo,

bist du der russischen Sprache sehr mächtig und kannst du kyrillisch? Wenn ja würde ich bei deinem problem dich lieber an VirusInfo weiterleiten, da dort ebenso gleichsprachig gesprochen wird.

Würdest du das tun? Oder sind die Fremdsprachenkenntnisse eher mager?

Aehem, mein russisch beschraenkt sich leider auf Hoeflichkeitsfloskeln und leichte Fragen, um wieder zurueckzufinden wenn ich mich (mal wieder) verlaufen hab. Ein russischsprachiges Forum kommt somit fuer mich nicht in Frage.

Wenn du aber irgendetwas uebersetzt haben moechtest ist das gar kein Problem (Russen gibt es hier schliesslich genug ;-)

Also immer her mit den Fragen, ich bin bereit!

Kann den deine Gastfamilie dir das nicht übersetzen? :)

Ja, doch, das meinte ich doch gerade?

Aber falls du findest, dass ein russischsprachiges Forum deshalb besser sei, so stimme ich dir hier nicht zu, da die Uebersetzung (bzw. Sinnfindung) von Meldungen usw. relativ leicht ist, aber mit den Leuten zu diskutieren und die Anweisungen genau auf Russisch auszufueren, ist wieder eine andere Sache... Und wie du ja schon gesehen hast, sind sie hier was Computer angeht absolute Laien, Manches musste ich mir hier am Rechner selbst zusammensuchen (z.B. Systemsteuerung, etc.)

Wie sieht's denn nun aus mit den Logs, soll ich noch irgendein Programm drueberlaufen lassen, oder was uebersetzen lassen? Gmer hat ja ein nettes Rootkit gefunden, oder ist das vlt. ein Fehlalarm (waere ja zu schoen um wahr zu sein)? Und die Remote-Prozesse?

Ich geh jetzt mal ins Bett (hab gerade festgestellt, dass es auf 2 Uhr zugeht.. hatte mich schon gewundert, weshalb ich muede bin) und werde mich dann morgen wieder melden, und etwaige Anweisungen ausfuehren (und um vlt. wieder etwas schlauer bzgl. dieses PCs zu sein).

Spokoinoi Notch (dafuer reichen meine Kenntnisse noch) ;-)
Sonja

Ne Frage: ist das ein russisches XP?

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Hallo, hier bin ich wieder

Ich hab deine Anleitung befolgt und folgenden Log von ComboFix bekommen:

Code:

ComboFix 09-09-03.02 - *** 04.09.2009 13:59.1.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1251.7.1049.18.511.289 [GMT 6:00]

Running from: c:\documents and settings\***\Рабочий стол\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

D:\80avp08.com

D:\u.bat

D:\w.com
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_KAVSYS

-------\Service_AVPsys
 
 

(((((((((((((((((((((((((   Files Created from 2009-08-04 to 2009-09-04  )))))))))))))))))))))))))))))))

.
 

2009-09-03 06:04 . 2009-09-03 06:04        --------        d-----w-        c:\program files\VideoLAN

2009-09-02 05:01 . 2009-09-02 05:01        --------        d-----w-        c:\documents and settings\***\Application Data\Foxit

2009-09-02 05:01 . 2009-09-02 05:01        --------        d-----w-        c:\program files\Foxit Software

2009-09-02 01:47 . 2009-09-02 01:47        --------        d-----w-        c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2009-09-02 01:46 . 2009-09-02 01:46        --------        d-----w-        c:\program files\SUPERAntiSpyware

2009-09-02 01:46 . 2009-09-02 01:46        --------        d-----w-        c:\documents and settings\***\Application Data\SUPERAntiSpyware.com

2009-09-02 01:45 . 2009-09-02 01:45        --------        d-----w-        c:\program files\Common Files\Wise Installation Wizard

2009-09-01 09:14 . 2009-09-01 09:14        --------        d-----w-        C:\rsit

2009-09-01 09:07 . 2009-09-01 09:07        --------        d-----w-        c:\program files\CCleaner

2009-09-01 08:37 . 2009-09-01 09:14        --------        d-----w-        c:\program files\HiJack This

2009-08-24 16:37 . 2009-08-24 16:37        --------        d-----w-        c:\documents and settings\Администратор\Application Data\Malwarebytes

2009-08-24 03:58 . 2009-08-24 03:58        0        ----a-w-        c:\windows\nsreg.dat

2009-08-24 03:58 . 2009-08-24 03:58        --------        d-----w-        c:\documents and settings\***\Local Settings\Application Data\Mozilla

2009-08-24 03:37 . 2009-07-28 10:33        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-08-24 03:37 . 2009-03-30 04:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-08-24 03:37 . 2009-02-13 06:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2009-08-24 03:37 . 2009-02-13 06:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2009-08-24 03:37 . 2009-08-24 03:37        --------        d-----w-        c:\program files\Avira

2009-08-24 03:37 . 2009-08-24 03:37        --------        d-----w-        c:\documents and settings\All Users\Application Data\Avira

2009-08-23 16:21 . 2009-08-24 01:24        --------        d-----w-        c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-23 16:20 . 2009-08-23 16:20        --------        d-----w-        c:\documents and settings\***\Application Data\Malwarebytes

2009-08-23 16:20 . 2009-08-03 07:36        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-23 16:20 . 2009-08-23 16:20        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2009-08-23 16:20 . 2009-08-23 16:20        --------        d-----w-        c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-23 16:20 . 2009-08-03 07:36        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys
 

.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-03 05:58 . 2009-01-03 12:30        --------        d-----w-        c:\documents and settings\***\Application Data\Skype

2009-09-03 05:39 . 2009-01-03 12:30        --------        d-----w-        c:\documents and settings\***\Application Data\skypePM

2009-09-02 04:44 . 2009-01-03 12:23        --------        d-----w-        c:\program files\Google

2009-08-16 09:06 . 2008-03-05 16:43        --------        d-----w-        c:\program files\Winamp

.
 

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-11-30 1306624]

"SoftAuto.exe"="c:\program files\Creative\Software Update 3\SoftAuto.exe" [2008-05-28 401408]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" [2007-06-29 286720]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 06:05        356352        ----a-w-        c:\program files\SUPERAntiSpyware\SASWINLO.dll
 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]

path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Ускоренный запуск Adobe Reader.lnk

backup=c:\windows\pss\Ускоренный запуск Adobe Reader.lnkCommon Startup
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\StrongDC\\StrongDC.exe"=

"d:\\itunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3763:TCP"= 3763:TCP:hlpshl
 

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [24.08.2009 9:37 108289]

R3 ctgame;Game Port;c:\windows\system32\drivers\ctgame.sys [30.12.2002 10:53 12160]

S2 wfccfw;System Helper;c:\windows\system32\svchost.exe -k netsvcs [18.08.2004 18:00 14336]

S3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [21.05.2008 17:42 64000]

S3 iztwg;iztwg;\??\c:\windows\system32\03.tmp --> c:\windows\system32\03.tmp [?]

S3 ojcbx;ojcbx;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]

S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

wfccfw

.

Contents of the 'Scheduled Tasks' folder
 

2009-08-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 06:34]

.

.

------- Supplementary Scan -------

.

uStart Page = about:blank

FF - ProfilePath - c:\documents and settings\***\Application Data\Mozilla\Firefox\Profiles\8j9a2wcz.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: d:\itunes\Mozilla Plugins\npitunes.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2009-09-04 14:04

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...  
 

scanning hidden autostart entries ... 
 

scanning hidden files ...  
 

scan completed successfully

hidden files: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg]

"ImagePath"="\??\c:\windows\system32\03.tmp"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx]

"ImagePath"="\??\c:\windows\system32\01.tmp"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw]

"ServiceDll"="c:\windows\system32\sqccyf.dll"

.

--------------------- DLLs Loaded Under Running Processes ---------------------
 

- - - - - - - > 'winlogon.exe'(688)

c:\program files\SUPERAntiSpyware\SASWINLO.dll
 

- - - - - - - > 'explorer.exe'(1124)

c:\windows\system32\WPDShServiceObj.dll

c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll

c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll

c:\windows\system32\ConnAPI.DLL

c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_rus.nlr

c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Creative\Shared Files\CTDevSrv.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe

c:\progra~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

.

**************************************************************************

.

Completion time: 2009-09-04 14:07 - machine was rebooted

ComboFix-quarantined-files.txt  2009-09-04 08:07
 

Pre-Run: 3*177*705*472 байт свободно

Post-Run: 3*136*237*568 байт свободно
 

156        --- E O F ---        2008-10-25 18:12

Mmh, was mich wundert, ist das ComboFix auch Gmer laufen laesst, aber das es hier nichts findet (im Gegensatz zu der svchost.exe vom Gmer-Suchlauf vorher). Auch hat sich die smss.exe nach Neustart in ComboFix.exe umbenannt, ist das normal? :confused:

Kann ich mit Gmer eigentlich auch fixen, oder macht es das sogar automatisch? Und wie sieht's mit HJT-Fixen aus, zumindest die beiden tmp's und die 4 CMD's koennte man damit doch entfernen, oder nicht? :kloppen:

Ach ja, und das hier ist die russische Variante des XP, deshalb so viel kyrillisch (und fuer mich eine etwas erschwerte Bedienung).

Bin gespannt, was ihr anzubieten habt :daumenhoc

Sonja

Ich hab auch mal gerade noch einmal RSIT drueberlaufen lassen, nach all den Aenderungen gibt's da vielleicht was Neues....

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by *** at 2009-09-04 14:26:36

Microsoft Windows XP Professional Service Pack 2

System drive C: has 3 GB (30%) free of 10 GB

Total RAM: 511 MB (59% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:26:52, on 04.09.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Creative\Shared Files\CTDevSrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Лиза\Рабочий стол\RSIT.exe

C:\Program Files\HiJack This\***.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
 

--

End of file - 5863 bytes
 

======Scheduled tasks folder======
 

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]

Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-11-18 1082880]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752]

"QuickTime Task"=C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe [2007-06-29 286720]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"PcSync"=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe [2005-11-30 1306624]

"SoftAuto.exe"=C:\Program Files\Creative\Software Update 3\SoftAuto.exe [2008-05-28 401408]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\CTFMON.EXE [2004-08-18 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]

C:\WINDOWS\CTHELPER.EXE [2006-08-11 17920]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]

C:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

D:\itunes\iTunesHelper.exe [2007-09-26 267064]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

C:\WINDOWS\system32\NvMcTray.dll [2006-07-12 86016]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install []
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2005-12-13 217088]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe [2007-06-29 286720]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

C:\Program Files\Winamp\winampa.exe [2005-10-27 33792]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]

C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2005-03-03 65588]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]

C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE  []
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]

C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

"NoDrives"=0
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"D:\StrongDC\StrongDC.exe"="D:\StrongDC\StrongDC.exe:*:Enabled:StrongDC++"

"D:\itunes\iTunes.exe"="D:\itunes\iTunes.exe:*:Enabled:iTunes"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 

======List of files/folders created in the last 1 months======
 

2009-09-04 14:07:51 ----D---- C:\WINDOWS\temp

2009-09-04 14:07:49 ----A---- C:\ComboFix.txt

2009-09-04 13:58:15 ----A---- C:\WINDOWS\zip.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWXCACLS.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWSC.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWREG.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\sed.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\PEV.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\NIRCMD.exe

2009-09-04 13:58:15 ----A---- C:\WINDOWS\grep.exe

2009-09-04 13:58:11 ----D---- C:\WINDOWS\ERDNT

2009-09-04 13:58:07 ----D---- C:\Qoobox

2009-09-03 12:04:05 ----D---- C:\Program Files\VideoLAN

2009-09-02 11:01:44 ----D---- C:\Documents and Settings\Лиза\Application Data\Foxit

2009-09-02 11:01:11 ----D---- C:\Program Files\Foxit Software

2009-09-02 10:44:29 ----D---- C:\WINDOWS\system32\appmgmt

2009-09-02 10:41:55 ----SHD---- C:\Config.Msi

2009-09-02 07:47:01 ----D---- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com

2009-09-02 07:46:50 ----D---- C:\Program Files\SUPERAntiSpyware

2009-09-02 07:46:50 ----D---- C:\Documents and Settings\Лиза\Application Data\SUPERAntiSpyware.com

2009-09-02 07:45:55 ----D---- C:\Program Files\Common Files\Wise Installation Wizard

2009-09-01 15:14:21 ----D---- C:\rsit

2009-09-01 15:07:38 ----D---- C:\Program Files\CCleaner

2009-09-01 14:37:40 ----D---- C:\Program Files\HiJack This

2009-08-24 09:58:52 ----D---- C:\Documents and Settings\***\Application Data\Mozilla

2009-08-24 09:37:03 ----D---- C:\Program Files\Avira

2009-08-24 09:37:03 ----D---- C:\Documents and Settings\All Users\Application Data\Avira

2009-08-23 22:21:57 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-23 22:20:57 ----D---- C:\Documents and Settings\Лиза\Application Data\Malwarebytes

2009-08-23 22:20:51 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-08-23 22:20:51 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2009-08-23 22:19:47 ----D---- C:\Program Files\Mozilla Firefox
 

======List of files/folders modified in the last 1 months======
 

2009-09-04 14:07:52 ----D---- C:\WINDOWS\system32\drivers

2009-09-04 14:07:52 ----D---- C:\WINDOWS\system32

2009-09-04 14:07:51 ----D---- C:\WINDOWS

2009-09-04 14:06:56 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-09-04 14:05:07 ----D---- C:\WINDOWS\system32\CatRoot2

2009-09-04 14:05:02 ----A---- C:\WINDOWS\system.ini

2009-09-04 14:03:29 ----D---- C:\WINDOWS\system32\config

2009-09-04 14:02:06 ----D---- C:\WINDOWS\AppPatch

2009-09-04 14:02:03 ----D---- C:\Program Files\Common Files

2009-09-04 13:59:02 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-09-04 13:58:15 ----SHD---- C:\System Volume Information

2009-09-04 13:58:15 ----D---- C:\WINDOWS\system32\Restore

2009-09-04 13:58:11 ----D---- C:\WINDOWS\Prefetch

2009-09-04 13:14:01 ----D---- C:\WINDOWS\Minidump

2009-09-03 15:23:18 ----RD---- C:\Program Files

2009-09-03 11:58:16 ----D---- C:\Documents and Settings\***\Application Data\Skype

2009-09-03 11:39:04 ----D---- C:\Documents and Settings\***\Application Data\skypePM

2009-09-02 10:44:50 ----D---- C:\Program Files\Google

2009-09-02 10:44:50 ----D---- C:\Documents and Settings\All Users\Application Data\Google

2009-09-02 10:44:49 ----SHD---- C:\WINDOWS\Installer

2009-09-01 15:08:54 ----D---- C:\WINDOWS\Debug

2009-08-25 11:30:54 ----SH---- C:\boot.ini

2009-08-25 11:30:54 ----A---- C:\WINDOWS\win.ini

2009-08-24 09:37:15 ----HD---- C:\WINDOWS\inf

2009-08-24 09:35:49 ----D---- C:\WINDOWS\WinSxS

2009-08-16 15:06:03 ----D---- C:\Program Files\Winamp

2009-08-14 23:34:25 ----SD---- C:\WINDOWS\Downloaded Program Files
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 40448]

R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS []

R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]

R3 Arp1394;Протокол клиента 1394 ARP; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-18 60800]

R3 catchme;catchme; \??\C:\ComboFix\catchme.sys []

R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-08-11 502272]

R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-08-11 499584]

R3 ctgame;Game Port; C:\WINDOWS\system32\DRIVERS\ctgame.sys [2002-12-30 12160]

R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-08-11 7168]

R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-08-11 143872]

R3 EL2000;3Com 3C2000x EtherLink XL Adapter; C:\WINDOWS\system32\DRIVERS\EL2K_XP.sys [2008-03-05 147328]

R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-08-11 78336]

R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]

R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2006-08-11 766976]

R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2006-08-11 154112]

R3 NIC1394;Сетевой драйвер 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-18 61824]

R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-07-12 3934592]

R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-08-11 116224]

R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-18 26624]

R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-18 57600]

R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-18 20480]

S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704]

S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2006-08-11 180224]

S3 iztwg;iztwg; \??\C:\WINDOWS\system32\03.tmp []

S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2005-10-13 8704]

S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2005-10-13 12800]

S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2005-10-13 124928]

S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2005-10-13 12800]

S3 ojcbx;ojcbx; \??\C:\WINDOWS\system32\01.tmp []

S3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS []

S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2007-09-06 30336]

S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-18 12032]
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592]

R2 CTDevice_Srv;CT Device Query service; C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440]

R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-07-12 155715]

R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-18 14336]

S3 CTUPnPSv;Creative Centrale Media Server; C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000]

S3 iPod Service;Сервис iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-09-26 503608]

S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
 

-----------------EOF-----------------

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

c:\windows\system32\sqccyf.dll

c:\windows\system32\01.tmp

c:\windows\system32\03.tmp
 

registry keys to delete:

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw
 

drivers to delete:

wfccfw

iztwg

ojcbx

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hi!

Sorry fuer die verzoegerte Antowrt, aber ich war die letzten zwei Tage auf einer Konferenz und konnte somit mich nicht weiter meinem Lieblings-PC kuemmern :uglyhammer:

Hier der gewuenschte Log von Avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

h**p://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "c:\windows\system32\sqccyf.dll" not found!

Deletion of file "c:\windows\system32\sqccyf.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "c:\windows\system32\01.tmp" not found!

Deletion of file "c:\windows\system32\01.tmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "c:\windows\system32\03.tmp" not found!

Deletion of file "c:\windows\system32\03.tmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg" deleted successfully.

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx" deleted successfully.

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw" deleted successfully.
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\wfccfw" not found!

Deletion of driver "wfccfw" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\iztwg" not found!

Deletion of driver "iztwg" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ojcbx" not found!

Deletion of driver "ojcbx" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Hm, konnte einige Dateien nicht finden, HJT hingegen schon (und mit der Ubuntu-Live-DVD habe ich die Dateien in diesem Ordner auch gesehen). Ideen?

Danke vielmals!

1. Poste ein erneutes Gmer Log bitte.

2. Danach eine neue RSIT (nur die Log.txt)

3. Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Wow, danke fuer die wieder mal schnelle Antwort!

Hier Punkt 1, der GMER-log:

Code:

GMER 1.0.15.15077 [p9i2wwe5.exe] - h**p://www.gmer.net

Rootkit scan 2009-09-07 01:13:23

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT  F8C0C696                                                                                                                                                                                                 ZwCreateKey

SSDT  F8C0C68C                                                                                                                                                                                                 ZwCreateThread

SSDT  F8C0C69B                                                                                                                                                                                                 ZwDeleteKey

SSDT  F8C0C6A5                                                                                                                                                                                                 ZwDeleteValueKey

SSDT  F8C0C6AA                                                                                                                                                                                                 ZwLoadKey

SSDT  F8C0C678                                                                                                                                                                                                 ZwOpenProcess

SSDT  F8C0C67D                                                                                                                                                                                                 ZwOpenThread

SSDT  F8C0C6B4                                                                                                                                                                                                 ZwReplaceKey

SSDT  F8C0C6AF                                                                                                                                                                                                 ZwRestoreKey

SSDT  F8C0C6A0                                                                                                                                                                                                 ZwSetValueKey

SSDT  F8C0C687                                                                                                                                                                                                 ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

?     ajlwr.sys                                                                                                                                                                                                Не удается найти указанный файл. !
 

---- Registry - GMER 1.0.15 ----
 

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                         1?

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                            1?

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                              1?

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                           1?

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                       1?

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                    1?

Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4  1?2?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                             1?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                               1?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                           1?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?

Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?2?
 

---- EOF - GMER 1.0.15 ----

Das finde ich wahnsinnig interessant, dass er jetzt statt des Rootkits svchost.exe lauter lustige Netzwerk-Resgistryschluessel findet (wobei lustig in diesem Fall wohl weniger angebracht ist :(
Die russische Meldung "Не удается найти указанный файл.!" zu ajlwr.sys lautet uebersetzt uebrigens "Konnte angegebene Datei nicht finden.!"

Das Gmer-Log sieht schonmal sehr viel freundlicher aus :)
Bitte noch den Rest abarbeiten :)