Home » Viren, Trojaner & Malware Forum » webelight.com und weitere Malware » Themenansicht

webelight.com und weitere Malware
#0
12.01.2008, 12:48
Oz5000
Member

Beiträge: 15
#1 Hallo,
habe ein paar Probleme mit meinem Rechner...
Habe mir nämlich Malware und Trojaner eingefangen, vor allem nervt diese webelight Malware, denn wenn ich z.B. bei google etwas suche und dann darauf klicke, öffnet sich webelight.com...schrecklich. Habe mir Antivir bereits einige Dateien in Quarantäne verschoben, aber wenn ich z.B. den IE öffne, kommen sofort neue Warnungen, wobei ich sowieso egtl nur Firefox nutze. Spybot entdeckt zwar diese Viren usw., aber kann sie nicht alle löschen und Antivir erst recht nicht. weiß jemand Rat? Software zur Bekämpfung o.ä.?

DANKE SCHONMAL!!!!

EDIT: Hijackthis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:01:08, on 12.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\_svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winlogan.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\lpcywinp.exe,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TBSB00393 - {0F296CA4-A145-4C7C-B036-1B67F8BFFC93} - C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL
O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: (no name) - {43F4FDB4-5BF6-4EEF-98A9-9A059FF51704} - C:\WINDOWS\system32\consol.dll
O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O2 - BHO: Microsoft copyright - {5DF6AFEE-2291-4041-9A74-354624861746} - judgemq.dll (file missing)
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
O2 - BHO: C:\WINDOWS\system32\J8dj3jg.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\J8dj3jg.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\Hfkr4g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\Hfkr4g.dll (file missing)
O2 - BHO: (no name) - {B6F1A4CB-DADD-4D0C-BDFC-E945647302C1} - c:\autoexcs.dll
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Programme\Adobe\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [jkdfj94kgdftdf] C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winlogan.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [jkdfj94kgdftdf] C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [Access Control App] C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winsto.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FF89916-064E-4A30-AB4C-690634F105BB}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FF89916-064E-4A30-AB4C-690634F105BB}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
O22 - SharedTaskScheduler: sklfc94krteetj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\J8dj3jg.dll (file missing)
O22 - SharedTaskScheduler: JGhsdk393ktrfggh9dtj - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\Hfkr4g.dll (file missing)
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - D:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft Int Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9240 bytes
Dieser Beitrag wurde am 12.01.2008 um 13:02 Uhr von Oz5000 editiert.
Seitenanfang Seitenende
12.01.2008, 13:22
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo Oz5000

«
1.
Start -> Ausführen und dann “regedit” eingeben.

klicke dich durch zu:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

Mit Virus steht dann am Ende bei Winlogon folgendes:
C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe - C:\WINDOWS\system32\lpcywinp.exe löschen

Richtig muss es heißen:
C:\Windows\system32\userinit.exe

… also wieder entsprechend abändern! Dann zur Sicherheit einfach mal in der Registry suchen nach ntos.exe + alles davon löschen

------------------------------------------------------

2.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Microsoft Int Service


3.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> O.K.

Zitat

sc delete Microsoft Int Service
-------------------------------------------------------------------------

4.
HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)

O2 - BHO: (no name) - {43F4FDB4-5BF6-4EEF-98A9-9A059FF51704} - C:\WINDOWS\system32\consol.dll

O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)

O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O2 - BHO: Microsoft copyright - {5DF6AFEE-2291-4041-9A74-354624861746} - judgemq.dll (file missing)

O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)

O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)

O2 - BHO: C:\WINDOWS\system32\J8dj3jg.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\J8dj3jg.dll (file missing)

O2 - BHO: C:\WINDOWS\system32\Hfkr4g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\Hfkr4g.dll (file missing)

O2 - BHO: (no name) - {B6F1A4CB-DADD-4D0C-BDFC-E945647302C1} - c:\autoexcs.dll

O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)

O4 - HKLM\..\Run: [jkdfj94kgdftdf] C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winlogan.exe

O4 - HKCU\..\Run: [jkdfj94kgdftdf] C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winlogan.exe

O4 - HKCU\..\Run: [Access Control App] C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\winsto.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2FF89916-064E-4A30-AB4C-690634F105BB}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FF89916-064E-4A30-AB4C-690634F105BB}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98

O22 - SharedTaskScheduler: sklfc94krteetj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\J8dj3jg.dll (file missing)

O22 - SharedTaskScheduler: JGhsdk393ktrfggh9dtj - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\Hfkr4g.dll (file missing)

O23 - Service: Microsoft Int Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe

««
wende fixwareout an
http://www.virus-protect.org/artikel/tools/fixwareout.html

««
Avenger
http://www.virus-protect.org/artikel/tools/avenger.html
lies dir durch, wie man den avenger anwendet
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\winlogan.exe
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\winsto.exe
c:\autoexcs.dll
C:\WINDOWS\system32\lpcywinp.exe
C:\WINDOWS\system32\consol.dll
C:\WINDOWS\system32\_svchost.exe
C:\Windows\system32\ntos.exe
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

---------------------------------------------------------------------------

««
wende CCleaner an
http://www.virus-protect.org/ccleaner.html

«
poste bitte das log von Combofix hier
http://www.virus-protect.org/artikel/tools/combofix.html

«
wende datfindbat an - poste von jedem log ca. 3 monate (ist nach Datum geordnet)
http://www.virus-protect.org/datfindbat.html

»»
poste das neue log vom HijackThis

«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
12.01.2008, 13:28
virenfinder
Member

Beiträge: 3716
#3 sorry @pingoin warst schneller :-)
Dieser Beitrag wurde am 12.01.2008 um 13:36 Uhr von virenfinder editiert.
Seitenanfang Seitenende
12.01.2008, 13:40
Oz5000
Member

Themenstarter

Beiträge: 15
#4 okay werd ich tun, muss jetzt arbeiten, werde heute abend posten ob geklappt hat!

vielen dank schonmal
Seitenanfang Seitenende
12.01.2008, 15:01
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 arbeite also alles genaustens ab - vorsicht in der Registry
und poste alle Logs, um die ich gebeten hatte.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 15:04
Oz5000
Member

Themenstarter

Beiträge: 15
#6 BIN ICH GEHEILT? ;)

COMBOFIX:

ComboFix 08-01-11.3 - Tim Nader 2008-01-13 14:56:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.204 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tim Nader\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ie_updates3r.exe
C:\WINDOWS\absolute key logger.lnk
C:\WINDOWS\aconti.exe
C:\WINDOWS\acontidialer.txt
C:\WINDOWS\adbar.dll
C:\WINDOWS\cbinst$.exe
C:\WINDOWS\daxtime.dll
C:\WINDOWS\default.htm
C:\WINDOWS\dp0.dll
C:\WINDOWS\eventlowg.dll
C:\WINDOWS\fhfmm-Uninstaller.exe
C:\WINDOWS\fhfmm.exe
C:\WINDOWS\hotporn.exe
C:\WINDOWS\ie_32.exe
C:\WINDOWS\jd2002.dll
C:\WINDOWS\kkcomp$.exe
C:\WINDOWS\kkcomp.dll
C:\WINDOWS\kkcomp.exe
C:\WINDOWS\liqad$.exe
C:\WINDOWS\liqad.dll
C:\WINDOWS\liqad.exe
C:\WINDOWS\liqui-Uninstaller.exe
C:\WINDOWS\liqui.dll
C:\WINDOWS\liqui.exe
C:\WINDOWS\ngd.dll
C:\WINDOWS\nwan.dat
C:\WINDOWS\spredirect.dll
C:\WINDOWS\system32\3_exception.nls
C:\WINDOWS\system32\acespy
C:\WINDOWS\system32\acespy\__acelog.ndx
C:\WINDOWS\system32\acespy\systune.exe
C:\WINDOWS\system32\din.ip
C:\WINDOWS\system32\dpqaqlqx.bin
C:\WINDOWS\system32\drivers\blank.gif
C:\WINDOWS\system32\drivers\box_2.gif
C:\WINDOWS\system32\drivers\button_buynow.gif
C:\WINDOWS\system32\drivers\button_freescan.gif
C:\WINDOWS\system32\drivers\cell_bg.gif
C:\WINDOWS\system32\drivers\cell_footer.gif
C:\WINDOWS\system32\drivers\cell_header_block.gif
C:\WINDOWS\system32\drivers\cell_header_remove.gif
C:\WINDOWS\system32\drivers\cell_header_scan.gif
C:\WINDOWS\system32\drivers\detect.htm
C:\WINDOWS\system32\drivers\download_btn.jpg
C:\WINDOWS\system32\drivers\download_now_btn.gif
C:\WINDOWS\system32\drivers\footer_back.jpg
C:\WINDOWS\system32\drivers\header_1.gif
C:\WINDOWS\system32\drivers\header_2.gif
C:\WINDOWS\system32\drivers\header_3.gif
C:\WINDOWS\system32\drivers\header_4.gif
C:\WINDOWS\system32\drivers\header_red_bg.gif
C:\WINDOWS\system32\drivers\header_red_free_scan.gif
C:\WINDOWS\system32\drivers\header_red_free_scan_bg.gif
C:\WINDOWS\system32\drivers\header_red_protect_your_pc.gif
C:\WINDOWS\system32\drivers\infected.gif
C:\WINDOWS\system32\drivers\main_back.gif
C:\WINDOWS\system32\drivers\product_2_header.gif
C:\WINDOWS\system32\drivers\product_2_name_small.gif
C:\WINDOWS\system32\drivers\product_features.gif
C:\WINDOWS\system32\drivers\pt.htm
C:\WINDOWS\system32\drivers\QMP43.sys
C:\WINDOWS\system32\drivers\rating.gif
C:\WINDOWS\system32\drivers\s_detect.htm
C:\WINDOWS\system32\drivers\screenshot.jpg
C:\WINDOWS\system32\drivers\sep_hor.gif
C:\WINDOWS\system32\drivers\sep_vert.gif
C:\WINDOWS\system32\drivers\shadow.jpg
C:\WINDOWS\system32\drivers\shadow_bg.gif
C:\WINDOWS\system32\drivers\smtpdrv.sys
C:\WINDOWS\system32\drivers\spacer.gif
C:\WINDOWS\system32\drivers\star.gif
C:\WINDOWS\system32\drivers\star_gray.gif
C:\WINDOWS\system32\drivers\star_gray_small.gif
C:\WINDOWS\system32\drivers\star_small.gif
C:\WINDOWS\system32\drivers\style.css
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\v.gif
C:\WINDOWS\system32\drivers\warning_icon.gif
C:\WINDOWS\system32\drivers\win_logo.gif
C:\WINDOWS\system32\drivers\x.gif
C:\WINDOWS\system32\ESHOPEE.exe
C:\WINDOWS\system32\lt.res
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\sznf.ascii
C:\WINDOWS\system32\wml.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\vxddsk.exe
C:\WINDOWS\wml.exe
C:\WINDOWS\xadbrk.dll
C:\WINDOWS\xadbrk.exe
C:\WINDOWS\xadbrk_.exe
C:\WINDOWS\xxxvideo.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_QMP43
-------\LEGACY_RUNTIME
-------\LEGACY_SMTPDRV
-------\smtpdrv


((((((((((((((((((((((( Dateien erstellt von 2007-12-13 bis 2008-01-13 ))))))))))))))))))))))))))))))
.

2008-01-13 14:55 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 14:53 . 2008-01-13 14:53 <DIR> d-------- C:\Programme\CCleaner
2008-01-10 22:58 . 2008-01-10 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-01-10 22:58 . 2008-01-10 23:02 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-10 22:56 . 2008-01-13 14:55 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-10 18:46 . 2008-01-12 13:18 13 --a------ C:\autoexec.ba_
2008-01-10 18:44 . 2008-01-10 18:44 76,288 --a------ C:\WINDOWS\system32\cs2fg53303.exe
2008-01-10 18:44 . 2008-01-10 18:44 16,896 --a------ C:\WINDOWS\system32\cs2fg53298.exe
2008-01-10 18:43 . 2008-01-10 18:43 233,984 --a------ C:\WINDOWS\system32\cs2fg53309.exe
2008-01-10 18:43 . 2008-01-10 18:43 60,961 --a------ C:\WINDOWS\system32\cs2fg53295.exe
2008-01-10 18:43 . 2008-01-10 18:43 28,160 --a------ C:\WINDOWS\system32\cs2fg53311.exe
2008-01-10 18:43 . 2008-01-10 18:44 36 --a------ C:\WINDOWS\system32\svchost.t__
2008-01-10 18:41 . 2008-01-10 23:17 412 --a------ C:\WINDOWS\system32\svchost.tmp
2008-01-10 14:45 . 2008-01-10 14:45 29 --a------ C:\WINDOWS\system32\rquipadf.tmp
2008-01-09 14:30 . 2008-01-13 14:59 24,832 --a------ C:\WINDOWS\system32\drivers\Hlo14.sys
2008-01-09 11:26 . 2008-01-09 22:20 741 --a------ C:\WINDOWS\wininit.ini
2008-01-09 10:51 . 2008-01-13 14:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-09 10:38 . 2008-01-09 10:38 <DIR> d-------- C:\WINDOWS\system32\AsBackup
2008-01-09 10:24 . 2008-01-09 10:24 42,362 --a------ C:\WINDOWS\system32\PUXPPLAT.UND
2008-01-09 10:22 . 2008-01-09 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flash
2008-01-09 10:21 . 2000-08-19 18:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-01-08 20:08 . 2008-01-08 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-01-08 19:10 . 2008-01-08 19:10 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-01-08 18:59 . 19,456 C:\WINDOWS\system32\drivers\uxoadhfj.dat
2008-01-08 18:55 . 2001-08-18 20:00 84,992 --a------ C:\WINDOWS\system32\consol.dll
2008-01-08 18:46 . 2008-01-10 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ Toolbar
2008-01-08 13:11 . 2008-01-11 15:25 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-08 13:11 . 2008-01-08 13:13 <DIR> d-------- C:\Programme\ICQ6
2008-01-08 13:10 . 2008-01-08 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\InstallShield
2008-01-07 22:59 . 2008-01-07 22:59 4 --a------ C:\WINDOWS\system32\jpewocmz.ini
2008-01-07 16:11 . 2008-01-07 16:11 25,600 --a------ C:\WINDOWS\system32\judgemq.dll
2008-01-07 16:11 . 2008-01-09 21:29 5,584 --a------ C:\WINDOWS\system32\sft.res
2008-01-06 23:58 . 2008-01-08 21:52 21,760 --a------ C:\WINDOWS\Mqs25.sys
2008-01-06 23:36 . 2008-01-06 23:36 45,568 --a------ C:\syswfgv.exe
2008-01-06 23:36 . 2008-01-06 23:36 21,760 --a------ C:\WINDOWS\system32\drivers\Mqs25.sys
2008-01-02 20:04 . 2008-01-02 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Samsung
2008-01-02 20:01 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-01-02 20:00 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-01-02 19:59 . 2008-01-02 20:01 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-01-02 19:59 . 2008-01-02 19:59 <DIR> d-------- C:\Programme\Samsung
2008-01-02 19:59 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-01-02 19:59 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-01-02 19:59 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-01-02 19:59 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-01 15:34 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-01-01 15:34 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-01-01 15:34 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-01-01 15:34 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-01-01 15:34 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-12-28 20:02 . 2007-12-29 13:13 <DIR> d-------- C:\Temp
2007-12-28 19:56 . 2007-12-28 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\vlc
2007-12-28 19:55 . 2007-12-28 19:55 <DIR> d-------- C:\Programme\VideoLAN
2007-12-28 19:46 . 2007-12-28 19:46 <DIR> d-------- C:\Programme\Quicknation
2007-12-28 19:42 . 2007-12-28 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Xilisoft Corporation
2007-12-28 19:39 . 2007-12-28 20:00 <DIR> d-------- C:\Programme\Xilisoft
2007-12-26 13:36 . 2007-12-26 13:49 34 --a------ C:\WINDOWS\cdplayer.ini
2007-12-26 13:35 . 2007-12-26 13:35 <DIR> d-------- C:\Programme\Audiograbber
2007-12-26 11:52 . 2007-12-26 11:52 <DIR> d-------- C:\Programme\MSXML 4.0
2007-12-25 13:20 . 2007-12-25 13:20 <DIR> d-------- C:\Programme\Red Kawa
2007-12-24 22:18 . 2008-01-13 15:00 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-24 22:18 . 2007-12-24 22:18 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-24 22:17 . 2007-12-24 22:18 <DIR> d-------- C:\Programme\iTunes
2007-12-24 22:17 . 2007-12-24 22:17 <DIR> d-------- C:\Programme\iPod
2007-12-24 22:16 . 2007-12-24 22:17 <DIR> d-------- C:\Programme\QuickTime
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Programme\Apple Software Update
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-12-24 22:15 . 2007-10-31 14:09 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2007-12-23 16:39 . 2007-12-24 22:15 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-12-23 16:39 . 2007-12-23 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Contacts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 17:36 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\HP
2008-01-09 09:22 --------- d-----w C:\Programme\Ashampoo
2008-01-08 12:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-30 23:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-28 21:18 --------- d-----w C:\Programme\DivX
2007-12-28 18:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Apple Computer
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2007-12-13 18:08 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\temp
2007-12-11 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
2007-12-10 22:15 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\DivX
2007-12-09 15:12 --------- d-----w C:\Programme\Microsoft Silverlight
2007-12-09 11:57 --------- d-----w C:\Programme\Miranda IM
2007-12-09 11:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Miranda
2007-12-09 11:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-12-08 14:41 --------- d-----w C:\Programme\Microsoft.NET
2007-12-08 14:20 --------- d-----w C:\Programme\Google
2007-12-08 14:16 --------- d-----w C:\Programme\PIXELA
2007-12-08 14:15 --------- d-----w C:\Programme\FinePixViewer
2007-12-08 14:15 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\FUJIFILM
2007-12-08 14:14 --------- d-----w C:\Programme\REGSHAVE
2007-12-08 14:10 --------- d-----w C:\Programme\VID_0E8F&PID_0012
2007-12-08 14:06 --------- d-----w C:\Programme\HP
2007-12-08 14:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-12-08 14:05 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-12-08 14:04 --------- d-----w C:\Programme\Hewlett-Packard
2007-12-08 14:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-12-08 13:58 --------- d-----w C:\Programme\CyberLink
2007-12-08 13:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-12-08 13:55 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2007-12-08 13:50 --------- d-----w C:\Programme\Java
2007-12-08 13:32 --------- d-----w C:\Programme\Tools&More
2007-12-07 23:10 64,444 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2007-12-07 23:10 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-12-07 23:01 --------- d--h--r C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\SecuROM
2007-12-07 22:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Ashampoo
2007-12-07 22:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2007-12-07 22:46 --------- d-----w C:\Programme\Wallpapers
2007-12-07 22:46 --------- d-----w C:\Programme\Fonts
2007-12-07 22:36 --------- d-----w C:\Programme\Winamp
2007-12-07 22:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-07 22:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-07 22:27 --------- d-----w C:\Programme\Dirextc
2007-12-07 22:25 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Talkback
2007-12-07 22:25 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ
2007-12-07 22:20 --------- d-----w C:\Programme\ULI5289
2007-12-07 22:19 --------- d-----w C:\Programme\AMD
2007-12-07 22:18 --------- d-----w C:\Programme\ALi
2007-12-07 22:07 --------- d-----w C:\Programme\ATI Technologies
2007-12-07 22:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-07 21:31 558,142 ----a-w C:\WINDOWS\java\Packages\3R3HVZN1.ZIP
2007-12-07 21:31 155,995 ----a-w C:\WINDOWS\java\Packages\WNHFTBNV.ZIP
2007-12-07 21:31 --------- d-----w C:\Programme\microsoft frontpage
2007-12-07 21:30 --------- d-----w C:\Programme\Online-Dienste
2007-12-07 21:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-07 21:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-07 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-07 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F296CA4-A145-4C7C-B036-1B67F8BFFC93}]
2007-02-17 07:59 868424 --a------ C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43F4FDB4-5BF6-4EEF-98A9-9A059FF51704}]
2001-08-18 20:00 84992 --a------ C:\WINDOWS\system32\consol.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2007-09-24 14:00 181496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"ALi5289"="C:\Programme\ULI5289\ALi5289.exe" [2004-09-16 17:49 405504]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35 327720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"Adobe Photo Downloader"="I:\Programme\Adobe\apdproxy.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"mspwr"="C:\WINDOWS\system32\PuXpMan2.exe" [2005-09-29 10:05 110592]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hlo14.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqs25.sys]
@="Driver"

R0 aliidex;aliidex;C:\WINDOWS\system32\drivers\aliidex.sys [2003-03-06 11:26]
R0 aliperf;aliperf;C:\WINDOWS\system32\drivers\aliperf.sys [2003-01-16 16:47]
R0 Hlo14;Hlo14;C:\WINDOWS\system32\Drivers\Hlo14.sys [2008-01-13 14:59]
R0 lhqaskxv;lhqaskxv;C:\WINDOWS\system32\drivers\uxoadhfj.dat []
R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys [2004-12-01 10:49]
R0 Mqs25;Mqs25;C:\WINDOWS\system32\Drivers\Mqs25.sys [2008-01-06 23:36]
R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2004-07-08 15:58]
R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN.SYS [2004-07-26 21:19]
S4 Microsoft Int Service;Microsoft Int Service;C:\WINDOWS\system32\_svchost.exe []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 12:41:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 15:01:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\drivers\ndisaluo.sys 7040 bytes executable
C:\WINDOWS\system32\drivers\ntio922.sys 37632 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\NDIS]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ndisaluo]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\ndisaluo.sys"
--

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ntio922]
"ImagePath"="system32\Drivers\ntio922.sys"
.
Zeit der Fertigstellung: 2008-01-13 15:02:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 14:02:45




DATFIND:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\system32

13.01.2008 15:05 59.576 perfc009.dat
13.01.2008 15:05 395.336 perfh009.dat
13.01.2008 15:05 71.796 perfc007.dat
13.01.2008 15:05 408.948 perfh007.dat
13.01.2008 15:05 946.822 PerfStringBackup.INI
13.01.2008 15:01 0 9_exception.nls
13.01.2008 15:00 358.830 vsconfig.xml
10.01.2008 23:17 412 svchost.tmp
10.01.2008 23:02 4.212 zllictbl.dat
10.01.2008 18:44 36 svchost.t__
10.01.2008 18:44 76.288 cs2fg53303.exe
10.01.2008 18:44 16.896 cs2fg53298.exe
10.01.2008 18:43 28.160 cs2fg53311.exe
10.01.2008 18:43 233.984 cs2fg53309.exe
10.01.2008 18:43 539 other.txt
10.01.2008 18:43 276 finance.txt
10.01.2008 18:43 1.091 pharma.txt
10.01.2008 18:43 60.961 cs2fg53295.exe
10.01.2008 18:43 538 adult.txt
10.01.2008 14:45 29 rquipadf.tmp
09.01.2008 21:29 5.584 sft.res
09.01.2008 10:24 42.362 PUXPPLAT.UND
08.01.2008 19:21 198.552 FNTCACHE.DAT
07.01.2008 23:28 1.077.336 MSCOMCTL.OCX
07.01.2008 22:59 4 jpewocmz.ini
07.01.2008 16:11 25.600 judgemq.dll
02.01.2008 23:47 2.206 wpa.dbl
13.12.2007 19:27 54.672 vsutil_loc0407.dll
13.12.2007 19:27 17.808 imslsp_install_loc0407.dll
13.12.2007 19:27 21.904 imsinstall_loc0407.dll
13.12.2007 19:27 394.952 vsdatant.sys
13.12.2007 19:27 1.086.952 zpeng24.dll
13.12.2007 19:26 46.568 vswmi.dll
13.12.2007 19:26 71.144 zlcommdb.dll
13.12.2007 19:26 83.432 zlcomm.dll
13.12.2007 19:26 99.816 vsxml.dll
13.12.2007 19:26 472.552 vsutil.dll
13.12.2007 19:26 275.944 vspubapi.dll
13.12.2007 19:26 157.160 vsinit.dll
13.12.2007 19:26 103.912 vsmonapi.dll
13.12.2007 19:26 71.144 vsregexp.dll
13.12.2007 19:26 83.432 vsdata.dll
13.12.2007 19:26 796.048 libeay32_0.9.6l.dll
11.12.2007 10:57 49.152 QuickTime.qts
11.12.2007 10:57 65.536 QuickTimeVR.qtx
08.12.2007 14:55 125.690 LoopyMusic.wav
08.12.2007 14:55 146.650 BuzzingBee.wav
08.12.2007 14:50 5.686 jupdate-1.6.0_03-b05.log
08.12.2007 00:10 219.648 uxtheme.dll
08.12.2007 00:01 107.888 CmdLineExt.dll
07.12.2007 23:30 4.254 jupdate-1.6.0_01-b06.log
07.12.2007 23:03 245 spupdwxp.log
07.12.2007 22:52 211 BOOTBAK.INI
07.12.2007 22:35 25.065 wmpscheme.xml
07.12.2007 22:33 261 $winnt$.inf
07.12.2007 22:31 2.951 CONFIG.NT
07.12.2007 22:31 16.832 amcompat.tlb
07.12.2007 22:31 23.392 nscompat.tlb
07.12.2007 22:30 488 WindowsLogon.manifest
07.12.2007 22:30 488 logonui.exe.manifest
07.12.2007 22:30 749 nwc.cpl.manifest
07.12.2007 22:30 749 sapi.cpl.manifest
07.12.2007 22:30 749 cdplayer.exe.manifest
07.12.2007 22:30 749 wuaucpl.cpl.manifest
07.12.2007 22:30 749 ncpa.cpl.manifest
07.12.2007 22:29 21.740 emptyregdb.dat
07.12.2007 22:25 0 h323log.txt
07.12.2007 03:07 102.400 SampleGrabber.ax
04.12.2007 02:33 823.296 divx_xx0c.dll
04.12.2007 02:33 802.816 divx_xx11.dll
04.12.2007 02:33 823.296 divx_xx07.dll
04.12.2007 02:33 682.496 DivX.dll
04.12.2007 02:33 630.784 divxdec.ax
29.11.2007 23:30 524.288 DivXsm.exe
29.11.2007 23:30 10.152 dsm_de.qm
29.11.2007 23:30 4.816 divxsm.tlb
29.11.2007 23:30 3.596.288 qt-dx331.dll
29.11.2007 23:30 72.440 pxhpinst.exe
29.11.2007 23:30 518.904 pxdrv.dll
29.11.2007 23:30 187.128 pxmas.dll
29.11.2007 23:30 1.628.920 pxsfs.dll
29.11.2007 23:30 379.640 pxwave.dll
29.11.2007 23:30 64.760 pxinsa64.exe
29.11.2007 23:30 120.056 pxcpyi64.exe
29.11.2007 23:30 66.296 pxcpya64.exe
29.11.2007 23:30 551.672 px.dll
29.11.2007 23:30 88.824 vxblock.dll
29.11.2007 23:30 129.784 pxafs.dll
29.11.2007 23:30 118.520 pxinsi64.exe
29.11.2007 23:30 200.704 ssldivx.dll
29.11.2007 23:30 1.044.480 libdivx.dll
29.11.2007 23:28 416 dtu100.dll.manifest
29.11.2007 23:28 81.920 dpl100.dll
29.11.2007 23:28 416 dpl100.dll.manifest
29.11.2007 23:28 196.608 dtu100.dll
28.11.2007 22:55 156.992 DivXCodecVersionChecker.exe
28.11.2007 22:53 53.248 dpuGUI10.dll
28.11.2007 22:53 593.920 dpuGUI11.dll
28.11.2007 22:53 344.064 dpus11.dll
28.11.2007 22:53 294.912 dpu11.dll
28.11.2007 22:53 294.912 dpu10.dll
28.11.2007 22:53 57.344 dpv11.dll
28.11.2007 22:53 352.401 DivXMedia.ax
28.11.2007 22:52 12.288 DivXWMPExtType.dll
28.11.2007 22:52 3.136 dtu_de.qm
28.11.2007 22:52 8.523 dpude.qm
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe




UND ZUM ABSCHLUSS HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:23, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp\Rar$EX00.907\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TBSB00393 - {0F296CA4-A145-4C7C-B036-1B67F8BFFC93} - C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL
O2 - BHO: (no name) - {43F4FDB4-5BF6-4EEF-98A9-9A059FF51704} - C:\WINDOWS\system32\consol.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Programme\Adobe\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - D:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6190 bytes
Dieser Beitrag wurde am 13.01.2008 um 15:21 Uhr von Oz5000 editiert.
Seitenanfang Seitenende
13.01.2008, 16:02
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 Combofix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43F4FDB4-5BF6-4EEF-98A9-9A059FF51704}]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hlo14.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqs25.sys]

File::
C:\WINDOWS\system32\cs2fg53303.exe
C:\WINDOWS\system32\cs2fg53298.exe
C:\WINDOWS\system32\cs2fg53309.exe
C:\WINDOWS\system32\cs2fg53295.exe
C:\WINDOWS\system32\cs2fg53311.exe
C:\WINDOWS\system32\_svchost.exe
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svchost.tmp
C:\WINDOWS\system32\rquipadf.tmp
C:\WINDOWS\system32\consol.dll
C:\WINDOWS\system32\judgemq.dll
C:\syswfgv.exe

Driver::
C:\WINDOWS\Mqs25.sys
C:\WINDOWS\system32\drivers\Mqs25.sys
C:\WINDOWS\system32\drivers\Hlo14.sys
C:\WINDOWS\system32\drivers\uxoadhfj.dat


und mit der rechten Maustaste auf das Symbol von Combofix ziehen



wende Combofix noch mal an - tippe 1
poste dann das Log, was erscheint

»»
dann scanne + berichte, ob was gefunden wurde
http://www.freewarefiles.com/program_9_90_22524.html

««
poste bitte alle 6 logs von datfindbat , jeweils nur 3 monate von jedem
http://www.virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 16:39
Oz5000
Member

Themenstarter

Beiträge: 15
#8 ComboFix 08-01-11.3 - Tim Nader 2008-01-13 16:30:33.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.210 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tim Nader\Desktop\SPYWARE\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Tim Nader\Desktop\SPYWARE\cfscript.txt

FILE
C:\syswfgv.exe
C:\WINDOWS\system32\_svchost.exe
C:\WINDOWS\system32\consol.dll
C:\WINDOWS\system32\cs2fg53295.exe
C:\WINDOWS\system32\cs2fg53298.exe
C:\WINDOWS\system32\cs2fg53303.exe
C:\WINDOWS\system32\cs2fg53309.exe
C:\WINDOWS\system32\cs2fg53311.exe
C:\WINDOWS\system32\judgemq.dll
C:\WINDOWS\system32\rquipadf.tmp
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svchost.tmp
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\syswfgv.exe
C:\WINDOWS\system32\9_exception.nls
C:\WINDOWS\system32\cs2fg53295.exe
C:\WINDOWS\system32\cs2fg53298.exe
C:\WINDOWS\system32\cs2fg53303.exe
C:\WINDOWS\system32\cs2fg53309.exe
C:\WINDOWS\system32\cs2fg53311.exe
C:\WINDOWS\system32\drivers\smtpdrv.sys
C:\WINDOWS\system32\judgemq.dll
C:\WINDOWS\system32\rquipadf.tmp
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svchost.tmp
C:\WINDOWS\system32\consol.dll . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\NdisWon


((((((((((((((((((((((( Dateien erstellt von 2007-12-13 bis 2008-01-13 ))))))))))))))))))))))))))))))
.

2008-01-13 14:55 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 14:53 . 2008-01-13 14:53 <DIR> d-------- C:\Programme\CCleaner
2008-01-10 22:58 . 2008-01-10 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-01-10 22:58 . 2008-01-10 23:02 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-10 22:56 . 2008-01-13 14:55 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-10 18:46 . 2008-01-12 13:18 13 --a------ C:\autoexec.ba_
2008-01-09 14:30 . 2008-01-13 14:59 24,832 --a------ C:\WINDOWS\system32\drivers\Hlo14.sys
2008-01-09 11:26 . 2008-01-09 22:20 741 --a------ C:\WINDOWS\wininit.ini
2008-01-09 10:51 . 2008-01-13 14:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-09 10:38 . 2008-01-09 10:38 <DIR> d-------- C:\WINDOWS\system32\AsBackup
2008-01-09 10:24 . 2008-01-09 10:24 42,362 --a------ C:\WINDOWS\system32\PUXPPLAT.UND
2008-01-09 10:22 . 2008-01-09 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flash
2008-01-09 10:21 . 2000-08-19 18:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-01-08 20:08 . 2008-01-08 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-01-08 19:10 . 2008-01-08 19:10 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-01-08 18:59 . 19,456 C:\WINDOWS\system32\drivers\uxoadhfj.dat
2008-01-08 18:55 . 2001-08-18 20:00 84,992 --a------ C:\WINDOWS\system32\consol.dll
2008-01-08 18:46 . 2008-01-10 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ Toolbar
2008-01-08 13:11 . 2008-01-13 15:19 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-08 13:11 . 2008-01-08 13:13 <DIR> d-------- C:\Programme\ICQ6
2008-01-08 13:10 . 2008-01-08 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\InstallShield
2008-01-07 22:59 . 2008-01-07 22:59 4 --a------ C:\WINDOWS\system32\jpewocmz.ini
2008-01-07 16:11 . 2008-01-09 21:29 5,584 --a------ C:\WINDOWS\system32\sft.res
2008-01-06 23:58 . 2008-01-08 21:52 21,760 --a------ C:\WINDOWS\Mqs25.sys
2008-01-06 23:36 . 2008-01-06 23:36 21,760 --a------ C:\WINDOWS\system32\drivers\Mqs25.sys
2008-01-02 20:04 . 2008-01-02 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Samsung
2008-01-02 20:01 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-01-02 20:00 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-01-02 19:59 . 2008-01-02 20:01 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-01-02 19:59 . 2008-01-02 19:59 <DIR> d-------- C:\Programme\Samsung
2008-01-02 19:59 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-01-02 19:59 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-01-02 19:59 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-01-02 19:59 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-01 15:34 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-01-01 15:34 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-01-01 15:34 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-01-01 15:34 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-01-01 15:34 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-12-28 20:02 . 2007-12-29 13:13 <DIR> d-------- C:\Temp
2007-12-28 19:56 . 2007-12-28 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\vlc
2007-12-28 19:55 . 2007-12-28 19:55 <DIR> d-------- C:\Programme\VideoLAN
2007-12-28 19:46 . 2007-12-28 19:46 <DIR> d-------- C:\Programme\Quicknation
2007-12-28 19:42 . 2007-12-28 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Xilisoft Corporation
2007-12-28 19:39 . 2007-12-28 20:00 <DIR> d-------- C:\Programme\Xilisoft
2007-12-26 13:36 . 2007-12-26 13:49 34 --a------ C:\WINDOWS\cdplayer.ini
2007-12-26 13:35 . 2007-12-26 13:35 <DIR> d-------- C:\Programme\Audiograbber
2007-12-26 11:52 . 2007-12-26 11:52 <DIR> d-------- C:\Programme\MSXML 4.0
2007-12-25 13:20 . 2007-12-25 13:20 <DIR> d-------- C:\Programme\Red Kawa
2007-12-24 22:18 . 2008-01-13 16:36 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-24 22:18 . 2007-12-24 22:18 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-24 22:17 . 2007-12-24 22:18 <DIR> d-------- C:\Programme\iTunes
2007-12-24 22:17 . 2007-12-24 22:17 <DIR> d-------- C:\Programme\iPod
2007-12-24 22:16 . 2007-12-24 22:17 <DIR> d-------- C:\Programme\QuickTime
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Programme\Apple Software Update
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-12-24 22:15 . 2007-10-31 14:09 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2007-12-23 16:39 . 2007-12-24 22:15 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-12-23 16:39 . 2007-12-23 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Contacts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 17:36 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\HP
2008-01-09 09:22 --------- d-----w C:\Programme\Ashampoo
2008-01-08 12:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-30 23:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-28 21:18 --------- d-----w C:\Programme\DivX
2007-12-28 18:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Apple Computer
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2007-12-13 18:08 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\temp
2007-12-11 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
2007-12-10 22:15 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\DivX
2007-12-09 15:12 --------- d-----w C:\Programme\Microsoft Silverlight
2007-12-09 11:57 --------- d-----w C:\Programme\Miranda IM
2007-12-09 11:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Miranda
2007-12-09 11:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-12-08 14:41 --------- d-----w C:\Programme\Microsoft.NET
2007-12-08 14:20 --------- d-----w C:\Programme\Google
2007-12-08 14:16 --------- d-----w C:\Programme\PIXELA
2007-12-08 14:15 --------- d-----w C:\Programme\FinePixViewer
2007-12-08 14:15 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\FUJIFILM
2007-12-08 14:14 --------- d-----w C:\Programme\REGSHAVE
2007-12-08 14:10 --------- d-----w C:\Programme\VID_0E8F&PID_0012
2007-12-08 14:06 --------- d-----w C:\Programme\HP
2007-12-08 14:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-12-08 14:05 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-12-08 14:04 --------- d-----w C:\Programme\Hewlett-Packard
2007-12-08 14:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-12-08 13:58 --------- d-----w C:\Programme\CyberLink
2007-12-08 13:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-12-08 13:55 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2007-12-08 13:50 --------- d-----w C:\Programme\Java
2007-12-08 13:32 --------- d-----w C:\Programme\Tools&More
2007-12-07 23:10 64,444 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2007-12-07 23:10 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-12-07 23:01 --------- d--h--r C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\SecuROM
2007-12-07 22:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Ashampoo
2007-12-07 22:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2007-12-07 22:46 --------- d-----w C:\Programme\Wallpapers
2007-12-07 22:46 --------- d-----w C:\Programme\Fonts
2007-12-07 22:36 --------- d-----w C:\Programme\Winamp
2007-12-07 22:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-07 22:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-07 22:27 --------- d-----w C:\Programme\Dirextc
2007-12-07 22:25 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Talkback
2007-12-07 22:25 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ
2007-12-07 22:20 --------- d-----w C:\Programme\ULI5289
2007-12-07 22:19 --------- d-----w C:\Programme\AMD
2007-12-07 22:18 --------- d-----w C:\Programme\ALi
2007-12-07 22:07 --------- d-----w C:\Programme\ATI Technologies
2007-12-07 22:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-07 21:31 --------- d-----w C:\Programme\microsoft frontpage
2007-12-07 21:30 --------- d-----w C:\Programme\Online-Dienste
2007-12-07 21:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-07 21:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-07 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-07 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-13_15.02.32.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-13 13:55:57 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-13 15:30:27 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-13 13:55:57 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-13 15:30:27 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-13 13:55:58 4,128,768 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-13 15:30:27 4,141,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-13 13:55:58 143,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-13 15:30:27 143,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-13 13:55:58 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-13 15:30:28 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-13 13:55:58 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-13 15:30:28 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-13 13:56:11 71,796 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-13 14:05:01 71,796 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-13 13:56:11 59,576 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-13 14:05:01 59,576 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-13 13:56:11 408,948 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-13 14:05:01 408,948 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-13 13:56:11 395,336 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-13 14:05:01 395,336 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F296CA4-A145-4C7C-B036-1B67F8BFFC93}]
2007-02-17 07:59 868424 --a------ C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43F4FDB4-5BF6-4EEF-98A9-9A059FF51704}]
2001-08-18 20:00 84992 --a------ C:\WINDOWS\system32\consol.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2007-09-24 14:00 181496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"ALi5289"="C:\Programme\ULI5289\ALi5289.exe" [2004-09-16 17:49 405504]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35 327720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"Adobe Photo Downloader"="I:\Programme\Adobe\apdproxy.exe" [2006-09-14 07:55 61440]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"mspwr"="C:\WINDOWS\system32\PuXpMan2.exe" [2005-09-29 10:05 110592]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hlo14.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqs25.sys]
@="Driver"

R0 aliidex;aliidex;C:\WINDOWS\system32\drivers\aliidex.sys [2003-03-06 11:26]
R0 aliperf;aliperf;C:\WINDOWS\system32\drivers\aliperf.sys [2003-01-16 16:47]
R0 Hlo14;Hlo14;C:\WINDOWS\system32\Drivers\Hlo14.sys [2008-01-13 14:59]
R0 lhqaskxv;lhqaskxv;C:\WINDOWS\system32\drivers\uxoadhfj.dat []
R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys [2004-12-01 10:49]
R0 Mqs25;Mqs25;C:\WINDOWS\system32\Drivers\Mqs25.sys [2008-01-06 23:36]
R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2004-07-08 15:58]
R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN.SYS [2004-07-26 21:19]
S4 Microsoft Int Service;Microsoft Int Service;C:\WINDOWS\system32\_svchost.exe []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 12:41:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 16:36:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\drivers\ndisaluo.sys 7040 bytes executable
C:\WINDOWS\system32\drivers\ntio922.sys 37632 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\NDIS]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ndisaluo]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\ndisaluo.sys"
--

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ntio922]
"ImagePath"="system32\Drivers\ntio922.sys"
.
Zeit der Fertigstellung: 2008-01-13 16:38:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 15:38:18
ComboFix2.txt 2008-01-13 14:02:53




AVG HAT EIN ROOTKIT GEFUNDEN:

System32\mswsock.dll



UUUND: DATFIND:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\system32

13.01.2008 16:41 358.830 vsconfig.xml
13.01.2008 16:37 0 0_exception.nls
13.01.2008 15:05 395.336 perfh009.dat
13.01.2008 15:05 59.576 perfc009.dat
13.01.2008 15:05 408.948 perfh007.dat
13.01.2008 15:05 71.796 perfc007.dat
13.01.2008 15:05 946.822 PerfStringBackup.INI
10.01.2008 23:02 4.212 zllictbl.dat
10.01.2008 18:43 539 other.txt
10.01.2008 18:43 276 finance.txt
10.01.2008 18:43 1.091 pharma.txt
10.01.2008 18:43 538 adult.txt
09.01.2008 21:29 5.584 sft.res
09.01.2008 10:24 42.362 PUXPPLAT.UND
08.01.2008 19:21 198.552 FNTCACHE.DAT
07.01.2008 23:28 1.077.336 MSCOMCTL.OCX
07.01.2008 22:59 4 jpewocmz.ini
02.01.2008 23:47 2.206 wpa.dbl
13.12.2007 19:27 54.672 vsutil_loc0407.dll
13.12.2007 19:27 17.808 imslsp_install_loc0407.dll
13.12.2007 19:27 21.904 imsinstall_loc0407.dll
13.12.2007 19:27 394.952 vsdatant.sys
13.12.2007 19:27 1.086.952 zpeng24.dll
13.12.2007 19:26 46.568 vswmi.dll
13.12.2007 19:26 99.816 vsxml.dll
13.12.2007 19:26 472.552 vsutil.dll
13.12.2007 19:26 71.144 zlcommdb.dll
13.12.2007 19:26 83.432 zlcomm.dll
13.12.2007 19:26 103.912 vsmonapi.dll
13.12.2007 19:26 275.944 vspubapi.dll
13.12.2007 19:26 71.144 vsregexp.dll
13.12.2007 19:26 157.160 vsinit.dll
13.12.2007 19:26 83.432 vsdata.dll
13.12.2007 19:26 796.048 libeay32_0.9.6l.dll
11.12.2007 10:57 65.536 QuickTimeVR.qtx
11.12.2007 10:57 49.152 QuickTime.qts
08.12.2007 14:55 125.690 LoopyMusic.wav
08.12.2007 14:55 146.650 BuzzingBee.wav
08.12.2007 14:50 5.686 jupdate-1.6.0_03-b05.log
08.12.2007 00:10 219.648 uxtheme.dll
08.12.2007 00:01 107.888 CmdLineExt.dll
07.12.2007 23:30 4.254 jupdate-1.6.0_01-b06.log
07.12.2007 23:03 245 spupdwxp.log
07.12.2007 22:52 211 BOOTBAK.INI
07.12.2007 22:35 25.065 wmpscheme.xml
07.12.2007 22:33 261 $winnt$.inf
07.12.2007 22:31 2.951 CONFIG.NT
07.12.2007 22:31 16.832 amcompat.tlb
07.12.2007 22:31 23.392 nscompat.tlb
07.12.2007 22:30 488 WindowsLogon.manifest
07.12.2007 22:30 488 logonui.exe.manifest
07.12.2007 22:30 749 wuaucpl.cpl.manifest
07.12.2007 22:30 749 cdplayer.exe.manifest
07.12.2007 22:30 749 sapi.cpl.manifest
07.12.2007 22:30 749 nwc.cpl.manifest
07.12.2007 22:30 749 ncpa.cpl.manifest
07.12.2007 22:29 21.740 emptyregdb.dat
07.12.2007 22:25 0 h323log.txt
07.12.2007 03:07 102.400 SampleGrabber.ax
04.12.2007 02:33 802.816 divx_xx11.dll
04.12.2007 02:33 823.296 divx_xx07.dll
04.12.2007 02:33 823.296 divx_xx0c.dll
04.12.2007 02:33 682.496 DivX.dll
04.12.2007 02:33 630.784 divxdec.ax
29.11.2007 23:30 524.288 DivXsm.exe
29.11.2007 23:30 10.152 dsm_de.qm
29.11.2007 23:30 4.816 divxsm.tlb
29.11.2007 23:30 3.596.288 qt-dx331.dll
29.11.2007 23:30 72.440 pxhpinst.exe
29.11.2007 23:30 518.904 pxdrv.dll
29.11.2007 23:30 187.128 pxmas.dll
29.11.2007 23:30 1.628.920 pxsfs.dll
29.11.2007 23:30 379.640 pxwave.dll
29.11.2007 23:30 118.520 pxinsi64.exe
29.11.2007 23:30 88.824 vxblock.dll
29.11.2007 23:30 129.784 pxafs.dll
29.11.2007 23:30 64.760 pxinsa64.exe
29.11.2007 23:30 66.296 pxcpya64.exe
29.11.2007 23:30 551.672 px.dll
29.11.2007 23:30 120.056 pxcpyi64.exe
29.11.2007 23:30 1.044.480 libdivx.dll
29.11.2007 23:30 200.704 ssldivx.dll
29.11.2007 23:28 416 dtu100.dll.manifest
29.11.2007 23:28 416 dpl100.dll.manifest
29.11.2007 23:28 196.608 dtu100.dll
29.11.2007 23:28 81.920 dpl100.dll
28.11.2007 22:55 156.992 DivXCodecVersionChecker.exe
28.11.2007 22:53 53.248 dpuGUI10.dll
28.11.2007 22:53 593.920 dpuGUI11.dll
28.11.2007 22:53 294.912 dpu10.dll
28.11.2007 22:53 57.344 dpv11.dll
28.11.2007 22:53 294.912 dpu11.dll
28.11.2007 22:53 344.064 dpus11.dll
28.11.2007 22:53 352.401 DivXMedia.ax
28.11.2007 22:52 12.288 DivXWMPExtType.dll
28.11.2007 22:52 3.136 dtu_de.qm
28.11.2007 22:52 8.523 dpude.qm
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp

13.01.2008 16:44 105.195 datfind.txt
13.01.2008 16:41 16.384 ~DF4188.tmp
13.01.2008 16:36 16.384 ~DF46C1.tmp
08.01.2008 18:59 4.736 xavrbtlm.dat
4 Datei(en) 142.699 Bytes
0 Verzeichnis(se), 6.284.177.408 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS

13.01.2008 16:41 54.156 QTFont.qfn
13.01.2008 16:41 159 wiadebug.log
13.01.2008 16:41 269.650 WindowsUpdate.log
13.01.2008 16:41 50 wiaservc.log
13.01.2008 16:40 0 0.log
13.01.2008 16:40 2.048 bootstat.dat
13.01.2008 16:39 23.006 SchedLgU.Txt
13.01.2008 16:36 227 system.ini
13.01.2008 15:45 638 win.ini
09.01.2008 22:20 741 wininit.ini
08.01.2008 21:52 21.760 Mqs25.sys
02.01.2008 20:01 316.640 WMSysPr9.prx
31.12.2007 00:52 4.161 ODBCINST.INI
26.12.2007 13:49 34 cdplayer.ini
24.12.2007 22:18 1.409 QTFont.for
13.12.2007 19:27 42.384 zllsputility_loc0407.dll
13.12.2007 19:27 75.248 zllsputility.exe
08.12.2007 15:42 400 ODBC.INI
08.12.2007 15:07 113.618 hpoins07.dat
08.12.2007 14:55 60.416 ALCFDRTM.EXE
08.12.2007 14:55 60.416 ALCFDRTM.VER
08.12.2007 14:27 1.142 mozver.dat
08.12.2007 00:10 6.120 BricoPackFoldersDelete.cmd
08.12.2007 00:10 64.444 BricoPackUninst.txt
08.12.2007 00:10 64.444 BricoPackUninst.cmd
08.12.2007 00:10 2.359.350 BricoPack Wallpaper.bmp
08.12.2007 00:04 266 ReplacerUndo.txt
07.12.2007 23:25 0 nsreg.dat
07.12.2007 23:19 3.561 Ascd_tmp.ini
07.12.2007 22:34 8.192 REGLOCS.OLD
07.12.2007 22:31 0 control.ini
07.12.2007 22:31 299.552 WMSysPrx.prx
07.12.2007 22:30 749 WindowsShell.Manifest
07.12.2007 22:28 36 vb.ini
07.12.2007 22:28 37 vbaddin.ini
07.12.2007 22:23 0 Sti_Trace.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.12.2007 22:30 65 desktop.ini




UND??
Dieser Beitrag wurde am 13.01.2008 um 16:47 Uhr von Oz5000 editiert.
Seitenanfang Seitenende
13.01.2008, 17:37
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 das System ist voller Rootkits ;)

Lade Tool avz
http://www.virus-protect.org/artikel/tools/avz.html



entpacke in einen Nicht-Temp-Ordner, starte AVZ.EXE
rechts auf der Seite:



scanne und poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 18:18
Oz5000
Member

Themenstarter

Beiträge: 15
#10 HIER ISSER:

Attention !!! The database was last updated 12.12.2007 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.29
Scanning started at 13.01.2008 17:59:47
Database loaded: signatures - 138934, NN profile(s) - 2, microprograms of healing - 55, signature database released 12.12.2007 10:43
Heuristic microprograms loaded: 371
SPV microprograms loaded: 9
Digital signatures of system files loaded: 66967
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Recovery: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=07B180)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 80552180
KiST = 80501030 (284)
Function NtConnectPort (1F) intercepted (8059843A->BAED0040), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateFile (25) intercepted (8056D14C->BAECC930), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateKey (29) intercepted (80618BD2->BAED7A80), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreatePort (2E) intercepted (80598F56->BAED0510), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateProcess (2F) intercepted (805C5CE8->BAED6870), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateProcessEx (30) intercepted (805C5C32->BAED6AA0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateSection (32) intercepted (8059F23E->BAED9FD0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateWaitablePort (38) intercepted (80598F7A->BAED0600), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDeleteFile (3E) intercepted (8056AD2C->BAECCF20), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDeleteKey (3F) intercepted (80619062->BAED86E0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDeleteValueKey (41) intercepted (80619232->BAED8440), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDuplicateObject (44) intercepted (805B21F0->BAED6580), hook C:\WINDOWS\System32\vsdatant.sys
Function NtEnumerateKey (47) - machine code modification Method of JmpTo. jmp F86E715C
Function NtEnumerateValueKey (49) - machine code modification Method of JmpTo. jmp F86E7220
Function NtLoadKey (62) intercepted (8061A902->BAED88B0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtOpenFile (74) intercepted (8056E26A->BAECCD70), hook C:\WINDOWS\System32\vsdatant.sys
Function NtOpenKey (77) - machine code modification Method of JmpTo. jmp F86E7314
Function NtOpenProcess (7A) intercepted (805BFB78->BAED6350), hook C:\WINDOWS\System32\vsdatant.sys
Function NtOpenThread (80) intercepted (805BFE04->BAED6150), hook C:\WINDOWS\System32\vsdatant.sys
Function NtQueryDirectoryFile (91) - machine code modification Method of JmpTo. jmp F86E6100
Function NtRenameKey (C0) intercepted (806185F8->BAED9250), hook C:\WINDOWS\System32\vsdatant.sys
Function NtReplaceKey (C1) intercepted (8061A7B2->BAED8CB0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtRequestWaitReplyPort (C8) intercepted (80596BE0->BAECFC00), hook C:\WINDOWS\System32\vsdatant.sys
Function NtRestoreKey (CC) intercepted (80616FDA->BAED9080), hook C:\WINDOWS\System32\vsdatant.sys
Function NtSecureConnectPort (D2) intercepted (80597BCE->BAED0220), hook C:\WINDOWS\System32\vsdatant.sys
Function NtSetInformationFile (E0) intercepted (8056F11A->BAECD120), hook C:\WINDOWS\System32\vsdatant.sys
Function NtSetValueKey (F7) intercepted (80617292->BAED8140), hook C:\WINDOWS\System32\vsdatant.sys
Function NtTerminateProcess (101) intercepted (805C74C8->BAED6CD0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateFile (8056D14C) - machine code modification Method of JmpTo. jmp F86E63EA
Function NtOpenFile (8056E26A) - machine code modification Method of JmpTo. jmp F86E629C
Function NtQueryDirectoryFile (8056DF44) - machine code modification Method of JmpTo. jmp F86E6100
Function ObOpenObjectByName (805AFA54) - machine code modification Method not defined.
Functions checked: 284, intercepted: 24, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
>>>> Process masking detected 16192 ?
1.4 Searching for masking processes and drivers
Checking not performed: the extended monitoring driver (AVZPM) is not installed
2. Scanning memory
Number of processes found: 38
Number of modules loaded: 331
Memory checking - complete
3. Scanning disks
C:\avenger\backup.zip/{ZIP}/avenger/winlogan.exe >>> suspicion for Trojan-Downloader.Win32.Small.gpv ( 0CF12430 00000000 001FE729 00000000 15000)
C:\avenger\backup.zip/{ZIP}/avenger/_svchost.exe >>> suspicion for Trojan-Downloader.Win32.Tiny.acp ( 077876AA 06F082F5 001A6644 00000000 6144)
C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ Toolbar\ieupdr2.exe >>> suspicion for Trojan-Downloader.Win32.Tiny.acp ( 077876AA 06F082F5 001A6644 00000000 6144)
Direct reading C:\Dokumente und Einstellungen\Tim Nader\Eigene Dateien\Spotting-Fever\CODES\Bilder einfügen.doc
Direct reading C:\Dokumente und Einstellungen\Tim Nader\Lokale Einstellungen\Temp\~DF4188.tmp
C:\QooBox\Quarantine\catchme2008-01-13_163614.15.zip/{ZIP}/consol.dll >>> suspicion for Trojan.Win32.BHO.abo ( 0A69F9E7 0491C21F 0020FE22 0023D50D 84992)
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0000004.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0000093.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0001072.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0002070.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0002116.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0003112.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0003123.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
C:\WINDOWS\system32\consol.dll >>> suspicion for Trojan.Win32.BHO.abo ( 0A6A3A27 0491C21F 0020FE22 0023D50D 84992)
C:\WINDOWS\system32\drivers\smtpdrv.sys >>>>> Email-Worm.Win32.Agent.l deleted successfully
Removing traces of deleted files...
[microprogram of healing]> Service/Driver deleted smtpdrv
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking complete
9. Troubleshooting wizard
Checking complete
Files scanned: 101609, extracted from archives: 80073, malicious programs found 8, suspicions - 5
Scanning finished at 13.01.2008 18:17:24
Time of scanning: 00:17:38
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference


UND NU??
Dieser Beitrag wurde am 13.01.2008 um 18:24 Uhr von Oz5000 editiert.
Seitenanfang Seitenende
13.01.2008, 18:30
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 Updaten

File - Online automatic update
http://www.virus-protect.org/artikel/tools/avz.html



dann scanne noch mal + poste das neue log von combofix + noch mal die 6 logs von datfindbat
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 18:50
Oz5000
Member

Themenstarter

Beiträge: 15
#12 einmal:

AVZ Antiviral Toolkit log; AVZ version is 4.29
Scanning started at 13.01.2008 18:34:00
Database loaded: signatures - 144795, NN profile(s) - 2, microprograms of healing - 55, signature database released 12.01.2008 16:59
Heuristic microprograms loaded: 371
SPV microprograms loaded: 9
Digital signatures of system files loaded: 68438
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Recovery: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=07B180)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 80552180
KiST = 80501030 (284)
Function NtConnectPort (1F) intercepted (8059843A->BAED0040), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateFile (25) intercepted (8056D14C->BAECC930), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateKey (29) intercepted (80618BD2->BAED7A80), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreatePort (2E) intercepted (80598F56->BAED0510), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateProcess (2F) intercepted (805C5CE8->BAED6870), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateProcessEx (30) intercepted (805C5C32->BAED6AA0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateSection (32) intercepted (8059F23E->BAED9FD0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateWaitablePort (38) intercepted (80598F7A->BAED0600), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDeleteFile (3E) intercepted (8056AD2C->BAECCF20), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDeleteKey (3F) intercepted (80619062->BAED86E0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDeleteValueKey (41) intercepted (80619232->BAED8440), hook C:\WINDOWS\System32\vsdatant.sys
Function NtDuplicateObject (44) intercepted (805B21F0->BAED6580), hook C:\WINDOWS\System32\vsdatant.sys
Function NtEnumerateKey (47) - machine code modification Method of JmpTo. jmp F86E715C
Function NtEnumerateValueKey (49) - machine code modification Method of JmpTo. jmp F86E7220
Function NtLoadKey (62) intercepted (8061A902->BAED88B0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtOpenFile (74) intercepted (8056E26A->BAECCD70), hook C:\WINDOWS\System32\vsdatant.sys
Function NtOpenKey (77) - machine code modification Method of JmpTo. jmp F86E7314
Function NtOpenProcess (7A) intercepted (805BFB78->BAED6350), hook C:\WINDOWS\System32\vsdatant.sys
Function NtOpenThread (80) intercepted (805BFE04->BAED6150), hook C:\WINDOWS\System32\vsdatant.sys
Function NtQueryDirectoryFile (91) - machine code modification Method of JmpTo. jmp F86E6100
Function NtRenameKey (C0) intercepted (806185F8->BAED9250), hook C:\WINDOWS\System32\vsdatant.sys
Function NtReplaceKey (C1) intercepted (8061A7B2->BAED8CB0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtRequestWaitReplyPort (C8) intercepted (80596BE0->BAECFC00), hook C:\WINDOWS\System32\vsdatant.sys
Function NtRestoreKey (CC) intercepted (80616FDA->BAED9080), hook C:\WINDOWS\System32\vsdatant.sys
Function NtSecureConnectPort (D2) intercepted (80597BCE->BAED0220), hook C:\WINDOWS\System32\vsdatant.sys
Function NtSetInformationFile (E0) intercepted (8056F11A->BAECD120), hook C:\WINDOWS\System32\vsdatant.sys
Function NtSetValueKey (F7) intercepted (80617292->BAED8140), hook C:\WINDOWS\System32\vsdatant.sys
Function NtTerminateProcess (101) intercepted (805C74C8->BAED6CD0), hook C:\WINDOWS\System32\vsdatant.sys
Function NtCreateFile (8056D14C) - machine code modification Method of JmpTo. jmp F86E63EA
Function NtOpenFile (8056E26A) - machine code modification Method of JmpTo. jmp F86E629C
Function NtQueryDirectoryFile (8056DF44) - machine code modification Method of JmpTo. jmp F86E6100
Function ObOpenObjectByName (805AFA54) - machine code modification Method not defined.
Functions checked: 284, intercepted: 24, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
>>>> Process masking detected 7440 ?
>>>> Process masking detected 54660 ?
1.4 Searching for masking processes and drivers
Checking not performed: the extended monitoring driver (AVZPM) is not installed
2. Scanning memory
Number of processes found: 39
Number of modules loaded: 382
Memory checking - complete
3. Scanning disks
C:\avenger\backup.zip/{ZIP}/avenger/winlogan.exe >>>>> Trojan-Downloader.Win32.Small.hko
C:\avenger\backup.zip/{ZIP}/avenger/_svchost.exe >>> suspicion for Trojan-Downloader.Win32.Tiny.afq ( 077876AA 06F082F5 001A6644 00000000 6144)
C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ Toolbar\ieupdr2.exe >>> suspicion for Trojan-Downloader.Win32.Tiny.afq ( 077876AA 06F082F5 001A6644 00000000 6144)
Direct reading C:\Dokumente und Einstellungen\Tim Nader\Lokale Einstellungen\Temp\~DF4188.tmp
C:\QooBox\Quarantine\catchme2008-01-13_163614.15.zip/{ZIP}/consol.dll >>> suspicion for Trojan.Win32.BHO.agz ( 0A69F9E7 0491C21F 0020FE22 0023D50D 84992)
C:\System Volume Information\_restore{9BF8EE64-962E-4A69-B670-3ADA64DCF85B}\RP1\A0000027.sys >>> suspicion for Trojan-Downloader.Win32.Agent.ggt ( 0A128115 0651AEB1 00230334 00240DA7 21760)
C:\WINDOWS\system32\consol.dll >>> suspicion for Trojan.Win32.BHO.agz ( 0A6A3A27 0491C21F 0020FE22 0023D50D 84992)
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking complete
9. Troubleshooting wizard
Checking complete
Files scanned: 101684, extracted from archives: 80079, malicious programs found 1, suspicions - 5
Scanning finished at 13.01.2008 18:49:25
Time of scanning: 00:15:26
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Seitenanfang Seitenende
13.01.2008, 19:00
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 poste das neue log von combofix + noch mal die 6 logs von datfindbat
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 19:03
Oz5000
Member

Themenstarter

Beiträge: 15
#14 ComboFix 08-01-11.3 - Tim Nader 2008-01-13 18:51:44.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Tim Nader\Desktop\SPYWARE\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\0_exception.nls

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SMTPDRV


((((((((((((((((((((((( Dateien erstellt von 2007-12-13 bis 2008-01-13 ))))))))))))))))))))))))))))))
.

2008-01-13 18:58 . 2008-01-13 18:58 18,176 --a------ C:\WINDOWS\system32\drivers\smtpdrv.sys
2008-01-13 18:58 . 2008-01-13 18:58 0 --a------ C:\WINDOWS\system32\9_exception.nls
2008-01-13 16:39 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-13 14:55 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 14:53 . 2008-01-13 14:53 <DIR> d-------- C:\Programme\CCleaner
2008-01-10 22:58 . 2008-01-10 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-01-10 22:58 . 2008-01-10 23:02 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-10 22:56 . 2008-01-13 14:55 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-10 18:46 . 2008-01-12 13:18 13 --a------ C:\autoexec.ba_
2008-01-09 14:30 . 2008-01-13 18:55 24,832 --a------ C:\WINDOWS\system32\drivers\Hlo14.sys
2008-01-09 11:26 . 2008-01-09 22:20 741 --a------ C:\WINDOWS\wininit.ini
2008-01-09 10:51 . 2008-01-13 14:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-09 10:38 . 2008-01-09 10:38 <DIR> d-------- C:\WINDOWS\system32\AsBackup
2008-01-09 10:24 . 2008-01-09 10:24 42,362 --a------ C:\WINDOWS\system32\PUXPPLAT.UND
2008-01-09 10:22 . 2008-01-09 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flash
2008-01-09 10:21 . 2000-08-19 18:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-01-08 20:08 . 2008-01-08 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-01-08 19:10 . 2008-01-08 19:10 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-01-08 18:59 . 19,456 C:\WINDOWS\system32\drivers\uxoadhfj.dat
2008-01-08 18:55 . 2001-08-18 20:00 84,992 --a------ C:\WINDOWS\system32\consol.dll
2008-01-08 18:46 . 2008-01-10 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ Toolbar
2008-01-08 13:11 . 2008-01-13 15:19 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-08 13:11 . 2008-01-08 13:13 <DIR> d-------- C:\Programme\ICQ6
2008-01-08 13:10 . 2008-01-08 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\InstallShield
2008-01-07 22:59 . 2008-01-07 22:59 4 --a------ C:\WINDOWS\system32\jpewocmz.ini
2008-01-07 16:11 . 2008-01-09 21:29 5,584 --a------ C:\WINDOWS\system32\sft.res
2008-01-06 23:58 . 2008-01-08 21:52 21,760 --a------ C:\WINDOWS\Mqs25.sys
2008-01-06 23:36 . 2008-01-06 23:36 21,760 --a------ C:\WINDOWS\system32\drivers\Mqs25.sys
2008-01-02 20:04 . 2008-01-02 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Samsung
2008-01-02 20:01 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-01-02 20:00 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-01-02 19:59 . 2008-01-02 20:01 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-01-02 19:59 . 2008-01-02 19:59 <DIR> d-------- C:\Programme\Samsung
2008-01-02 19:59 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-01-02 19:59 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-01-02 19:59 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-01-02 19:59 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-01-02 19:59 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-01 15:34 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-01-01 15:34 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-01-01 15:34 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-01-01 15:34 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-01-01 15:34 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-12-28 20:02 . 2007-12-29 13:13 <DIR> d-------- C:\Temp
2007-12-28 19:56 . 2007-12-28 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\vlc
2007-12-28 19:55 . 2007-12-28 19:55 <DIR> d-------- C:\Programme\VideoLAN
2007-12-28 19:46 . 2007-12-28 19:46 <DIR> d-------- C:\Programme\Quicknation
2007-12-28 19:42 . 2007-12-28 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Xilisoft Corporation
2007-12-28 19:39 . 2007-12-28 20:00 <DIR> d-------- C:\Programme\Xilisoft
2007-12-26 13:36 . 2007-12-26 13:49 34 --a------ C:\WINDOWS\cdplayer.ini
2007-12-26 13:35 . 2007-12-26 13:35 <DIR> d-------- C:\Programme\Audiograbber
2007-12-26 11:52 . 2007-12-26 11:52 <DIR> d-------- C:\Programme\MSXML 4.0
2007-12-25 13:20 . 2007-12-25 13:20 <DIR> d-------- C:\Programme\Red Kawa
2007-12-24 22:18 . 2008-01-13 18:58 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-24 22:18 . 2007-12-24 22:18 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-24 22:17 . 2007-12-24 22:18 <DIR> d-------- C:\Programme\iTunes
2007-12-24 22:17 . 2007-12-24 22:17 <DIR> d-------- C:\Programme\iPod
2007-12-24 22:16 . 2007-12-24 22:17 <DIR> d-------- C:\Programme\QuickTime
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Programme\Apple Software Update
2007-12-24 22:15 . 2007-12-24 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-12-24 22:15 . 2007-10-31 14:09 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2007-12-23 16:39 . 2007-12-24 22:15 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-12-23 16:39 . 2007-12-23 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\Tim Nader\Contacts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 17:36 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\HP
2008-01-09 09:22 --------- d-----w C:\Programme\Ashampoo
2008-01-08 12:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-30 23:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-28 21:18 --------- d-----w C:\Programme\DivX
2007-12-28 18:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Apple Computer
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2007-12-13 18:08 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\temp
2007-12-11 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
2007-12-10 22:15 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\DivX
2007-12-09 15:12 --------- d-----w C:\Programme\Microsoft Silverlight
2007-12-09 11:57 --------- d-----w C:\Programme\Miranda IM
2007-12-09 11:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Miranda
2007-12-09 11:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-12-08 14:41 --------- d-----w C:\Programme\Microsoft.NET
2007-12-08 14:20 --------- d-----w C:\Programme\Google
2007-12-08 14:16 --------- d-----w C:\Programme\PIXELA
2007-12-08 14:15 --------- d-----w C:\Programme\FinePixViewer
2007-12-08 14:15 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\FUJIFILM
2007-12-08 14:14 --------- d-----w C:\Programme\REGSHAVE
2007-12-08 14:10 --------- d-----w C:\Programme\VID_0E8F&PID_0012
2007-12-08 14:06 --------- d-----w C:\Programme\HP
2007-12-08 14:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-12-08 14:05 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-12-08 14:04 --------- d-----w C:\Programme\Hewlett-Packard
2007-12-08 14:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-12-08 13:58 --------- d-----w C:\Programme\CyberLink
2007-12-08 13:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-12-08 13:55 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2007-12-08 13:50 --------- d-----w C:\Programme\Java
2007-12-08 13:32 --------- d-----w C:\Programme\Tools&More
2007-12-07 23:10 64,444 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2007-12-07 23:10 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-12-07 23:01 --------- d--h--r C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\SecuROM
2007-12-07 22:56 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Ashampoo
2007-12-07 22:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2007-12-07 22:46 --------- d-----w C:\Programme\Wallpapers
2007-12-07 22:46 --------- d-----w C:\Programme\Fonts
2007-12-07 22:36 --------- d-----w C:\Programme\Winamp
2007-12-07 22:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-07 22:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-07 22:27 --------- d-----w C:\Programme\Dirextc
2007-12-07 22:25 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\Talkback
2007-12-07 22:25 --------- d-----w C:\Dokumente und Einstellungen\Tim Nader\Anwendungsdaten\ICQ
2007-12-07 22:20 --------- d-----w C:\Programme\ULI5289
2007-12-07 22:19 --------- d-----w C:\Programme\AMD
2007-12-07 22:18 --------- d-----w C:\Programme\ALi
2007-12-07 22:07 --------- d-----w C:\Programme\ATI Technologies
2007-12-07 22:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-07 21:31 558,142 ----a-w C:\WINDOWS\java\Packages\3R3HVZN1.ZIP
2007-12-07 21:31 155,995 ----a-w C:\WINDOWS\java\Packages\WNHFTBNV.ZIP
2007-12-07 21:31 --------- d-----w C:\Programme\microsoft frontpage
2007-12-07 21:30 --------- d-----w C:\Programme\Online-Dienste
2007-12-07 21:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-07 21:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-07 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-07 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-13_15.02.32.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-13 13:55:57 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-13 15:30:27 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-13 13:55:57 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-13 15:30:27 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-13 13:55:58 4,128,768 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-13 15:30:27 4,141,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-13 13:55:58 143,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-13 15:30:27 143,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-13 13:55:58 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-13 15:30:28 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-13 13:55:58 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-13 15:30:28 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2007-01-31 13:33:46 5,632 ----a-w C:\WINDOWS\system32\drivers\avgarkt.sys
- 2008-01-13 13:56:11 71,796 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-13 15:45:25 71,796 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-13 13:56:11 59,576 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-13 15:45:25 59,576 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-13 13:56:11 408,948 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-13 15:45:25 408,948 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-13 13:56:11 395,336 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-13 15:45:25 395,336 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F296CA4-A145-4C7C-B036-1B67F8BFFC93}]
2007-02-17 07:59 868424 --a------ C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43F4FDB4-5BF6-4EEF-98A9-9A059FF51704}]
2001-08-18 20:00 84992 --a------ C:\WINDOWS\system32\consol.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2007-09-24 14:00 181496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"ALi5289"="C:\Programme\ULI5289\ALi5289.exe" [2004-09-16 17:49 405504]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35 327720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"Adobe Photo Downloader"="I:\Programme\Adobe\apdproxy.exe" [2006-09-14 07:55 61440]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"mspwr"="C:\WINDOWS\system32\PuXpMan2.exe" [2005-09-29 10:05 110592]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hlo14.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqs25.sys]
@="Driver"

R0 aliidex;aliidex;C:\WINDOWS\system32\drivers\aliidex.sys [2003-03-06 11:26]
R0 aliperf;aliperf;C:\WINDOWS\system32\drivers\aliperf.sys [2003-01-16 16:47]
R0 Hlo14;Hlo14;C:\WINDOWS\system32\Drivers\Hlo14.sys [2008-01-13 18:55]
R0 lhqaskxv;lhqaskxv;C:\WINDOWS\system32\drivers\uxoadhfj.dat []
R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys [2004-12-01 10:49]
R0 Mqs25;Mqs25;C:\WINDOWS\system32\Drivers\Mqs25.sys [2008-01-06 23:36]
R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2004-07-08 15:58]
R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN.SYS [2004-07-26 21:19]
S4 Microsoft Int Service;Microsoft Int Service;C:\WINDOWS\system32\_svchost.exe []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 12:41:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 18:58:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\drivers\ndisaluo.sys 7040 bytes executable
C:\WINDOWS\system32\drivers\ntio922.sys 37632 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\NDIS]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ndisaluo]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\ndisaluo.sys"
--

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ntio922]
"ImagePath"="system32\Drivers\ntio922.sys"
.
Zeit der Fertigstellung: 2008-01-13 19:00:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 18:00:36
ComboFix2.txt 2008-01-13 15:38:21
ComboFix3.txt 2008-01-13 14:02:53


DATFIND:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\system32

13.01.2008 18:59 358.830 vsconfig.xml
13.01.2008 18:58 0 9_exception.nls
13.01.2008 16:45 395.336 perfh009.dat
13.01.2008 16:45 408.948 perfh007.dat
13.01.2008 16:45 59.576 perfc009.dat
13.01.2008 16:45 71.796 perfc007.dat
13.01.2008 16:45 946.822 PerfStringBackup.INI
10.01.2008 23:02 4.212 zllictbl.dat
10.01.2008 18:43 539 other.txt
10.01.2008 18:43 276 finance.txt
10.01.2008 18:43 1.091 pharma.txt
10.01.2008 18:43 538 adult.txt
09.01.2008 21:29 5.584 sft.res
09.01.2008 10:24 42.362 PUXPPLAT.UND
08.01.2008 19:21 198.552 FNTCACHE.DAT
07.01.2008 23:28 1.077.336 MSCOMCTL.OCX
07.01.2008 22:59 4 jpewocmz.ini
02.01.2008 23:47 2.206 wpa.dbl
13.12.2007 19:27 54.672 vsutil_loc0407.dll
13.12.2007 19:27 17.808 imslsp_install_loc0407.dll
13.12.2007 19:27 21.904 imsinstall_loc0407.dll
13.12.2007 19:27 394.952 vsdatant.sys
13.12.2007 19:27 1.086.952 zpeng24.dll
13.12.2007 19:26 46.568 vswmi.dll
13.12.2007 19:26 99.816 vsxml.dll
13.12.2007 19:26 472.552 vsutil.dll
13.12.2007 19:26 71.144 zlcommdb.dll
13.12.2007 19:26 83.432 zlcomm.dll
13.12.2007 19:26 103.912 vsmonapi.dll
13.12.2007 19:26 275.944 vspubapi.dll
13.12.2007 19:26 71.144 vsregexp.dll
13.12.2007 19:26 157.160 vsinit.dll
13.12.2007 19:26 83.432 vsdata.dll
13.12.2007 19:26 796.048 libeay32_0.9.6l.dll
11.12.2007 10:57 65.536 QuickTimeVR.qtx
11.12.2007 10:57 49.152 QuickTime.qts
08.12.2007 14:55 125.690 LoopyMusic.wav
08.12.2007 14:55 146.650 BuzzingBee.wav
08.12.2007 14:50 5.686 jupdate-1.6.0_03-b05.log
08.12.2007 00:10 219.648 uxtheme.dll
08.12.2007 00:01 107.888 CmdLineExt.dll
07.12.2007 23:30 4.254 jupdate-1.6.0_01-b06.log
07.12.2007 23:03 245 spupdwxp.log
07.12.2007 22:52 211 BOOTBAK.INI
07.12.2007 22:35 25.065 wmpscheme.xml
07.12.2007 22:33 261 $winnt$.inf
07.12.2007 22:31 2.951 CONFIG.NT
07.12.2007 22:31 16.832 amcompat.tlb
07.12.2007 22:31 23.392 nscompat.tlb
07.12.2007 22:30 488 WindowsLogon.manifest
07.12.2007 22:30 488 logonui.exe.manifest
07.12.2007 22:30 749 wuaucpl.cpl.manifest
07.12.2007 22:30 749 cdplayer.exe.manifest
07.12.2007 22:30 749 sapi.cpl.manifest
07.12.2007 22:30 749 nwc.cpl.manifest
07.12.2007 22:30 749 ncpa.cpl.manifest
07.12.2007 22:29 21.740 emptyregdb.dat
07.12.2007 22:25 0 h323log.txt
07.12.2007 03:07 102.400 SampleGrabber.ax
04.12.2007 02:33 802.816 divx_xx11.dll
04.12.2007 02:33 823.296 divx_xx07.dll
04.12.2007 02:33 823.296 divx_xx0c.dll
04.12.2007 02:33 682.496 DivX.dll
04.12.2007 02:33 630.784 divxdec.ax
29.11.2007 23:30 524.288 DivXsm.exe
29.11.2007 23:30 10.152 dsm_de.qm
29.11.2007 23:30 4.816 divxsm.tlb
29.11.2007 23:30 3.596.288 qt-dx331.dll
29.11.2007 23:30 72.440 pxhpinst.exe
29.11.2007 23:30 518.904 pxdrv.dll
29.11.2007 23:30 187.128 pxmas.dll
29.11.2007 23:30 1.628.920 pxsfs.dll
29.11.2007 23:30 379.640 pxwave.dll
29.11.2007 23:30 118.520 pxinsi64.exe
29.11.2007 23:30 88.824 vxblock.dll
29.11.2007 23:30 129.784 pxafs.dll
29.11.2007 23:30 64.760 pxinsa64.exe
29.11.2007 23:30 66.296 pxcpya64.exe
29.11.2007 23:30 551.672 px.dll
29.11.2007 23:30 120.056 pxcpyi64.exe
29.11.2007 23:30 1.044.480 libdivx.dll
29.11.2007 23:30 200.704 ssldivx.dll
29.11.2007 23:28 416 dtu100.dll.manifest
29.11.2007 23:28 416 dpl100.dll.manifest
29.11.2007 23:28 196.608 dtu100.dll
29.11.2007 23:28 81.920 dpl100.dll
28.11.2007 22:55 156.992 DivXCodecVersionChecker.exe
28.11.2007 22:53 53.248 dpuGUI10.dll
28.11.2007 22:53 593.920 dpuGUI11.dll
28.11.2007 22:53 294.912 dpu10.dll
28.11.2007 22:53 57.344 dpv11.dll
28.11.2007 22:53 294.912 dpu11.dll
28.11.2007 22:53 344.064 dpus11.dll
28.11.2007 22:53 352.401 DivXMedia.ax
28.11.2007 22:52 12.288 DivXWMPExtType.dll
28.11.2007 22:52 3.136 dtu_de.qm
28.11.2007 22:52 8.523 dpude.qm
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\DOKUME~1\TIMNAD~1\LOKALE~1\Temp

13.01.2008 19:01 105.195 datfind.txt
13.01.2008 18:58 16.384 ~DF8AB2.tmp
08.01.2008 18:59 4.736 xavrbtlm.dat
3 Datei(en) 126.315 Bytes
0 Verzeichnis(se), 6.281.191.424 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS

13.01.2008 18:58 272.170 WindowsUpdate.log
13.01.2008 18:58 54.156 QTFont.qfn
13.01.2008 18:58 227 system.ini
13.01.2008 18:58 159 wiadebug.log
13.01.2008 18:58 50 wiaservc.log
13.01.2008 18:58 0 0.log
13.01.2008 18:58 2.048 bootstat.dat
13.01.2008 18:55 23.222 SchedLgU.Txt
13.01.2008 17:05 638 win.ini
09.01.2008 22:20 741 wininit.ini
08.01.2008 21:52 21.760 Mqs25.sys
02.01.2008 20:01 316.640 WMSysPr9.prx
31.12.2007 00:52 4.161 ODBCINST.INI
26.12.2007 13:49 34 cdplayer.ini
24.12.2007 22:18 1.409 QTFont.for
13.12.2007 19:27 42.384 zllsputility_loc0407.dll
13.12.2007 19:27 75.248 zllsputility.exe
08.12.2007 15:42 400 ODBC.INI
08.12.2007 15:07 113.618 hpoins07.dat
08.12.2007 14:55 60.416 ALCFDRTM.EXE
08.12.2007 14:55 60.416 ALCFDRTM.VER
08.12.2007 14:27 1.142 mozver.dat
08.12.2007 00:10 6.120 BricoPackFoldersDelete.cmd
08.12.2007 00:10 64.444 BricoPackUninst.txt
08.12.2007 00:10 64.444 BricoPackUninst.cmd
08.12.2007 00:10 2.359.350 BricoPack Wallpaper.bmp
08.12.2007 00:04 266 ReplacerUndo.txt
07.12.2007 23:25 0 nsreg.dat
07.12.2007 23:19 3.561 Ascd_tmp.ini
07.12.2007 22:34 8.192 REGLOCS.OLD
07.12.2007 22:31 0 control.ini
07.12.2007 22:31 299.552 WMSysPrx.prx
07.12.2007 22:30 749 WindowsShell.Manifest
07.12.2007 22:28 36 vb.ini
07.12.2007 22:28 37 vbaddin.ini
07.12.2007 22:23 0 Sti_Trace.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8890-858C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.12.2007 22:30 65 desktop.ini
Seitenanfang Seitenende
13.01.2008, 19:03
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 ««
http://www.virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Hlo14

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Mqs25

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

consol.dll

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

lhqaskxv

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12