Trojaner TR/Dldr.Agent.jjg.1

#0
10.03.2008, 13:50
...neu hier

Beiträge: 6
#1 Avira findet auf meinem Rechner andauernd den Trojaner Dldr.Agent.jjg.1 im Verzeichnis Windows/system32. Manchmal ist es so schlimm dass mein Rechner wirklich stehen bleibt. Andauernd diese nervige Fehlermeldung. Löschen oder in Quarantäne verschieben lässt er sich nicht...
Bitte um Hilfe!


Hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 13:32:37, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBService.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
E:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Assi\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [GnabTray] C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "E:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" boot "C:\Dokumente und Einstellungen\Assi\Lokale Einstellungen\Anwendungsdaten\NVIDIA Corporation\nTune\Profiles\übertaktet.nsu"
O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Programme\RegistryCleanFixer2008\RegistryCleanFixer2008.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} (ProductView Express) - file://E:\Programme\proeWildfire 3.0\i486_nt\obj\pvx_install.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B153D835-E021-445D-A920-697286C51AA3}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe


Combofix log:

ComboFix 08-03-09.4 - Assi 2008-03-10 13:17:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1057 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Assi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\83296.exe
C:\WINDOWS\system32\92696.exe
C:\WINDOWS\system32\Dll.dll
C:\WINDOWS\system32\icqmlib.exe
C:\WINDOWS\system32\iepref32.dll
C:\WINDOWS\system32\ierplc.dll
C:\WINDOWS\system32\ips.dll
C:\WINDOWS\system32\KernelDrv.exe
C:\WINDOWS\system32\ksvcl.dll
C:\WINDOWS\system32\lanmandrv.sys
C:\WINDOWS\system32\lanmanwrk.exe
C:\WINDOWS\system32\laprxy.dllexe
C:\WINDOWS\system32\ocxapi.dll
C:\WINDOWS\system32\ocxloader.exe
C:\WINDOWS\system32\qmopt.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_LANMANDRV
-------\lanmandrv


((((((((((((((((((((((( Dateien erstellt von 2008-02-10 bis 2008-03-10 ))))))))))))))))))))))))))))))
.

2008-03-10 12:16 . 2008-03-10 12:16 <DIR> d-------- C:\Programme\Avira
2008-03-10 12:16 . 2008-03-10 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-08 22:06 . 2008-03-08 22:06 <DIR> d-------- C:\Programme\thriXXX
2008-03-08 21:44 . 2008-03-08 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Propellerhead Software
2008-03-08 21:44 . 2008-03-08 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software
2008-03-08 21:44 . 2008-03-08 21:44 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
2008-03-08 21:44 . 2008-03-08 21:44 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-03-07 20:40 . 2008-03-07 20:40 <DIR> d-------- C:\Programme\DaemonTools_WhenUSave_Installer
2008-03-06 20:26 . 2008-03-09 14:57 8,627 --a------ C:\WINDOWS\system32\PAV_FOG.OPC
2008-03-06 20:19 . 2008-03-06 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sentinel
2008-03-06 20:12 . 2008-03-06 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Backup
2008-03-06 19:46 . 2008-03-10 12:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Panda Software
2008-02-28 03:52 . 2008-02-28 03:52 <DIR> d-------- C:\Programme\ratDVD
2008-02-24 15:41 . 2008-02-24 15:41 <DIR> d-------- C:\Programme\Trojancheck 6
2008-02-13 19:55 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-02-13 19:50 . 2008-02-13 19:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-02-13 19:50 . 2008-02-13 19:50 111 --a------ C:\WINDOWS\telephon.ini
2008-02-13 19:49 . 2008-02-13 19:50 <DIR> d-------- C:\Programme\Alice
2008-02-13 15:07 . 2008-02-20 11:58 40,448 --a------ C:\WINDOWS\system32\KernelDrv.VIR
2008-02-13 15:07 . 2008-03-10 13:01 27,430 --a------ C:\WINDOWS\system32\kcopt.dll
2008-02-13 14:41 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-02-13 14:41 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-02-13 08:12 . 2008-02-13 08:13 <DIR> d-------- C:\WINDOWS\system32\pgr4_screensaver dir
2008-02-13 08:12 . 2008-02-13 08:12 532,480 --a------ C:\WINDOWS\system32\pgr4_screensaver.scr

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 11:25 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\OpenOffice.org2
2008-03-07 18:59 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Azureus
2008-03-06 18:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-15 14:47 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Canon
2008-02-15 06:37 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Skype
2008-02-14 23:17 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\skypePM
2008-02-12 00:32 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\UseNeXT
2008-02-07 13:26 606,848 ----a-w C:\WINDOWS\flashax.exe
2008-02-07 13:26 194,560 ----a-w C:\WINDOWS\Steve McQueen Le Mans.scr
2008-02-07 13:26 12,288 ----a-w C:\WINDOWS\impborl.dll
2008-02-07 12:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-07 02:00 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-01-31 15:39 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\ICQ
2008-01-30 13:48 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-30 13:44 --------- d-----w C:\Programme\Skype
2008-01-30 13:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-01-30 13:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-21 21:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-21 21:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-01-21 21:10 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-20 19:43 --------- d-----w C:\Programme\AGEIA Technologies
2008-01-20 19:27 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Bioshock
2008-01-19 15:12 --------- d-----w C:\Programme\RivaTuner v2.06
2008-01-18 19:47 --------- d-----w C:\Programme\EVEREST Home Edition
2008-01-18 19:26 --------- d-----w C:\Programme\SystemRequirementsLab
2008-01-13 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania United
2008-01-10 16:55 --------- d-----w C:\Programme\ICQ6
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 13:45 133576]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 11:51 202024]
"NVIDIA nTune"="E:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 14:20 81920]
"RegistryCleanFixMFC"="C:\Programme\RegistryCleanFixer2008\RegistryCleanFixer2008.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 07:45 90112 C:\WINDOWS\soundman.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 08:25 1828136]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 14:03 93208]
"GnabTray"="C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe" [ ]
"WinampAgent"="E:\Programme\Winamp\wianmpa.exe" [ ]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"APVXDWIN"="C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.exe" [ ]
"SCANINICIO"="C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe" [ ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-10 12:21 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT HPW]
--a------ 2007-06-29 16:56 278528 C:\Programme\Portrait Displays\HP My Display\DTHtml.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PivotSoftware]
--a------ 2007-02-09 11:17 694008 C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\eMule\\emule.exe"=
"D:\\Gamez\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\Programme\\Azureus\\Azureus.exe"=
"D:\\Gamez\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"D:\\Gamez\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"D:\\Gamez\\SEGA Rally\\SEGA Rally.exe"=
"D:\\Gamez\\SEGA Rally\\SEGA Rally_SSE1.exe"=
"D:\\Gamez\\Kane and Lynch Dead Men\\kaneandlynch.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Gamez\\TrackMania United\\TmUnited.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"E:\\Programme\\proeWildfire 3.0\\i486_nt\\nms\\nmsd.exe"=
"E:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\xtop.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8371:TCP"= 8371:TCP:Client Tcp Port
"8371:UDP"= 8371:UDP:Client Udp Port

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys [2007-02-09 11:17]
R3 pivotmou;Pivot Mouse/Pointers Filter Driver;C:\WINDOWS\system32\drivers\pivotmou.sys [2007-02-09 11:17]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2004-04-19 09:51]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-10 13:20:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBService.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
E:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-10 13:23:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-10 12:23:23



Datfind log:
Verzeichnis von C:\WINDOWS\system32

10.03.2008 13:25 63.130 perfc009.dat
10.03.2008 13:25 403.528 perfh009.dat
10.03.2008 13:25 418.624 perfh007.dat
10.03.2008 13:25 76.006 perfc007.dat
10.03.2008 13:25 973.996 PerfStringBackup.INI
10.03.2008 13:01 27.430 kcopt.dll
10.03.2008 12:14 2.206 wpa.dbl
10.03.2008 02:33 126.279 nvapps.xml
09.03.2008 14:57 8.627 PAV_FOG.OPC
08.03.2008 21:44 233.472 REX Shared Library.dll
08.03.2008 21:44 368.640 ReWire.dll
20.02.2008 11:58 40.448 KernelDrv.VIR
13.02.2008 08:12 532.480 pgr4_screensaver.scr
27.01.2008 00:56 8 nvModes.dat
21.01.2008 11:47 45 initdebug.nfo


Verzeichnis von C:\DOKUME~1\Assi\LOKALE~1\Temp

10.03.2008 13:37 105.332 datfind.txt
10.03.2008 13:25 173 jusched.log
2 Datei(en) 105.505 Bytes
0 Verzeichnis(se), 9.369.010.176 Bytes frei


Verzeichnis von C:\WINDOWS

10.03.2008 13:27 384.771 WindowsUpdate.log
10.03.2008 13:21 0 0.log
10.03.2008 13:21 159 wiadebug.log
10.03.2008 13:21 50 wiaservc.log
10.03.2008 13:20 227 system.ini
10.03.2008 13:19 2.048 bootstat.dat
10.03.2008 13:18 32.552 SchedLgU.Txt
10.03.2008 12:12 1.059.432 setupapi.log
10.03.2008 12:07 69 NeroDigital.ini
08.03.2008 18:21 54.156 QTFont.qfn
06.03.2008 20:19 630 win.ini
21.02.2008 21:31 29.297 wmsetup.log
13.02.2008 19:51 1.033 netcfg.log
13.02.2008 19:50 111 telephon.ini
07.02.2008 14:26 194.560 Steve McQueen Le Mans.scr
07.02.2008 14:26 606.848 flashax.exe
07.02.2008 14:26 12.288 impborl.dll
03.02.2008 02:11 1.409 QTFont.for
26.01.2008 21:59 255.851 DirectX.log
20.01.2008 20:43 4.699 DIFx.log
05.01.2008 23:03 852 DtcInstall.log


Verzeichnis von C:\WINDOWS\temp

10.03.2008 13:21 16.384 Perflib_Perfdata_768.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 9.369.001.984 Bytes frei
Seitenanfang Seitenende
10.03.2008, 15:34
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Gazblaster

lade die dll hoch - lasse sie prüfen + poste hier den Report
http://www.virustotal.com/de/

C:\WINDOWS\system32\kcopt.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

-------------------------------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryCleanFixMFC"=-
"DAEMON Tools Pro Agent"=-

File::
C:\WINDOWS\system32\kcopt.dll

Folder::
C:\Programme\DAEMON Tools Pro
C:\Programme\DaemonTools_WhenUSave_Installer
C:\Programme\RegistryCleanFixer2008
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Combofix csfscript - mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

poste das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
10.03.2008, 16:18
...neu hier

Themenstarter

Beiträge: 6
#3 Datei kcopt.dll empfangen 2008.03.10 16:08:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.10 -
AntiVir 7.6.0.73 2008.03.10 -
Authentium 4.93.8 2008.03.07 -
Avast 4.7.1098.0 2008.03.09 -
AVG 7.5.0.516 2008.03.10 -
BitDefender 7.2 2008.03.10 -
CAT-QuickHeal 9.50 2008.03.08 -
ClamAV 0.92.1 2008.03.10 -
DrWeb 4.44.0.09170 2008.03.10 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5597 2008.03.07 -
Ewido 4.0 2008.03.10 -
FileAdvisor 1 2008.03.10 -
Fortinet 3.14.0.0 2008.03.10 -
F-Prot 4.4.2.54 2008.03.09 -
F-Secure 6.70.13260.0 2008.03.10 -
Ikarus T3.1.1.20 2008.03.10 -
Kaspersky 7.0.0.125 2008.03.10 -
McAfee 5247 2008.03.07 -
Microsoft 1.3301 2008.03.10 -
NOD32v2 2935 2008.03.10 -
Norman 5.80.02 2008.03.07 -
Panda 9.0.0.4 2008.03.09 -
Prevx1 V2 2008.03.10 -
Rising 20.35.02.00 2008.03.10 -
Sophos 4.27.0 2008.03.10 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.10 -
TheHacker 6.2.92.239 2008.03.09 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.09 -
Webwasher-Gateway 6.6.2 2008.03.10 -
weitere Informationen
File size: 27430 bytes
MD5: 9077fd9db4e0f6a1965413d7652e2b04
SHA1: d3ae78a0f77378da62555ae77babd21c6fc129e6
PEiD: -
Seitenanfang Seitenende
10.03.2008, 16:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 wende das script an (siehe oben) + poste hier den report
die kcopt.dll verbleibt in Qurantäne...sicherheitshalber
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
10.03.2008, 16:31
...neu hier

Themenstarter

Beiträge: 6
#5 Achso Sorry! Vielen Dank schonmal für die schnelle Antwort!
Hier nun Combofix:


ComboFix 08-03-09.4 - Assi 2008-03-10 16:21:27.2 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Assi\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Assi\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\kcopt.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\DAEMON Tools Pro
C:\Programme\DAEMON Tools Pro\atl80.dll
C:\Programme\DAEMON Tools Pro\borlndmm.dll
C:\Programme\DAEMON Tools Pro\cryptapi.dll
C:\Programme\DAEMON Tools Pro\drvparam.dll
C:\Programme\DAEMON Tools Pro\drvprop.dll
C:\Programme\DAEMON Tools Pro\drvshl32.dll
C:\Programme\DAEMON Tools Pro\dtpro.dll
C:\Programme\DAEMON Tools Pro\dtpro.exe
C:\Programme\DAEMON Tools Pro\dtpro.ini
C:\Programme\DAEMON Tools Pro\dtpro.log
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\DAEMON Tools Pro\dtproapi.dll
C:\Programme\DAEMON Tools Pro\dtprohlp.dll
C:\Programme\DAEMON Tools Pro\dtprores.dll
C:\Programme\DAEMON Tools Pro\GrabHlp.dll
C:\Programme\DAEMON Tools Pro\imgshl32.dll
C:\Programme\DAEMON Tools Pro\Lang\DEU.dll
C:\Programme\DAEMON Tools Pro\Lang\ENU.dll
C:\Programme\DAEMON Tools Pro\Lang\FRE.dll
C:\Programme\DAEMON Tools Pro\Lang\ITA.dll
C:\Programme\DAEMON Tools Pro\Lang\RUS.dll
C:\Programme\DAEMON Tools Pro\mfc80u.dll
C:\Programme\DAEMON Tools Pro\Microsoft.VC80.ATL.manifest
C:\Programme\DAEMON Tools Pro\Microsoft.VC80.CRT.manifest
C:\Programme\DAEMON Tools Pro\Microsoft.VC80.MFC.manifest
C:\Programme\DAEMON Tools Pro\msvcp80.dll
C:\Programme\DAEMON Tools Pro\msvcr80.dll
C:\Programme\DAEMON Tools Pro\pfctoc.dll
C:\Programme\DAEMON Tools Pro\Plugins\Grabbers\GenDisc.dll
C:\Programme\DAEMON Tools Pro\Plugins\Grabbers\GenDPM.dll
C:\Programme\DAEMON Tools Pro\Plugins\Grabbers\GenSub.dll
C:\Programme\DAEMON Tools Pro\Plugins\Grabbers\Microsoft.VC80.CRT.manifest
C:\Programme\DAEMON Tools Pro\Plugins\Grabbers\SafeDisc.dll
C:\Programme\DAEMON Tools Pro\Plugins\Grabbers\Tages.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\bw5mount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\bwtmount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\ccdmount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\cuemount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\iszmount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\mdsmount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\nrgmount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\pdimount.dll
C:\Programme\DAEMON Tools Pro\Plugins\Images\pfcmount.dll
C:\Programme\DAEMON Tools Pro\Profiles.ini
C:\Programme\DAEMON Tools Pro\regshell.bat
C:\Programme\DAEMON Tools Pro\Sound\Button.wav
C:\Programme\DAEMON Tools Pro\Sound\DeviceAdd.wav
C:\Programme\DAEMON Tools Pro\Sound\DeviceRemove.wav
C:\Programme\DAEMON Tools Pro\Sound\DiscEject.wav
C:\Programme\DAEMON Tools Pro\Sound\DiscLoad.wav
C:\Programme\DAEMON Tools Pro\Sound\DriverStart.wav
C:\Programme\DAEMON Tools Pro\Sound\DriverStop.wav
C:\Programme\DAEMON Tools Pro\Sound\GrabError.wav
C:\Programme\DAEMON Tools Pro\Sound\GrabFinish.wav
C:\Programme\DAEMON Tools Pro\Sound\ImageAdd.wav
C:\Programme\DAEMON Tools Pro\Sound\ImageRemove.wav
C:\Programme\DAEMON Tools Pro\Sound\Menu.wav
C:\Programme\DAEMON Tools Pro\Sound\Mount.wav
C:\Programme\DAEMON Tools Pro\Sound\Refresh.wav
C:\Programme\DAEMON Tools Pro\Sound\SearchFinish.wav
C:\Programme\DAEMON Tools Pro\Sound\Startup.wav
C:\Programme\DAEMON Tools Pro\Sound\SwitchOff.wav
C:\Programme\DAEMON Tools Pro\Sound\SwitchOn.wav
C:\Programme\DAEMON Tools Pro\Sound\Unmount.wav
C:\Programme\DAEMON Tools Pro\StarBurn.dll
C:\Programme\DAEMON Tools Pro\uninst.exe
C:\Programme\DAEMON Tools Pro\zlib1.dll
C:\WINDOWS\system32\kcopt.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-10 bis 2008-03-10 ))))))))))))))))))))))))))))))
.

2008-03-10 13:52 . 2008-03-10 13:52 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-03-10 13:52 . 2008-03-10 13:59 <DIR> d-------- C:\Programme\Save
2008-03-10 12:16 . 2008-03-10 12:16 <DIR> d-------- C:\Programme\Avira
2008-03-10 12:16 . 2008-03-10 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-08 22:06 . 2008-03-08 22:06 <DIR> d-------- C:\Programme\thriXXX
2008-03-08 21:44 . 2008-03-10 13:56 <DIR> d-------- C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Propellerhead Software
2008-03-08 21:44 . 2008-03-10 13:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software
2008-03-08 21:44 . 2008-03-08 21:44 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
2008-03-08 21:44 . 2008-03-08 21:44 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-03-06 20:26 . 2008-03-09 14:57 8,627 --a------ C:\WINDOWS\system32\PAV_FOG.OPC
2008-03-06 20:19 . 2008-03-06 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sentinel
2008-03-06 20:12 . 2008-03-06 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Backup
2008-03-06 19:46 . 2008-03-10 12:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Panda Software
2008-02-28 03:52 . 2008-02-28 03:52 <DIR> d-------- C:\Programme\ratDVD
2008-02-13 19:55 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-02-13 19:50 . 2008-02-13 19:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-02-13 19:50 . 2008-02-13 19:50 111 --a------ C:\WINDOWS\telephon.ini
2008-02-13 19:49 . 2008-02-13 19:50 <DIR> d-------- C:\Programme\Alice
2008-02-13 14:41 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-02-13 14:41 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-02-13 08:12 . 2008-02-13 08:13 <DIR> d-------- C:\WINDOWS\system32\pgr4_screensaver dir
2008-02-13 08:12 . 2008-02-13 08:12 532,480 --a------ C:\WINDOWS\system32\pgr4_screensaver.scr

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 15:26 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\OpenOffice.org2
2008-03-07 18:59 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Azureus
2008-03-06 18:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-15 14:47 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Canon
2008-02-15 06:37 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Skype
2008-02-14 23:17 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\skypePM
2008-02-12 00:32 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\UseNeXT
2008-02-07 13:26 606,848 ----a-w C:\WINDOWS\flashax.exe
2008-02-07 13:26 194,560 ----a-w C:\WINDOWS\Steve McQueen Le Mans.scr
2008-02-07 13:26 12,288 ----a-w C:\WINDOWS\impborl.dll
2008-02-07 12:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-07 02:00 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-01-31 15:39 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\ICQ
2008-01-30 13:48 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-30 13:44 --------- d-----w C:\Programme\Skype
2008-01-30 13:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-01-30 13:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-21 21:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-21 21:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-01-21 21:10 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-20 19:43 --------- d-----w C:\Programme\AGEIA Technologies
2008-01-20 19:27 --------- d-----w C:\Dokumente und Einstellungen\Assi\Anwendungsdaten\Bioshock
2008-01-19 15:12 --------- d-----w C:\Programme\RivaTuner v2.06
2008-01-18 19:47 --------- d-----w C:\Programme\EVEREST Home Edition
2008-01-18 19:26 --------- d-----w C:\Programme\SystemRequirementsLab
2008-01-13 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania United
2008-01-10 16:55 --------- d-----w C:\Programme\ICQ6
.

((((((((((((((((((((((((((((( snapshot@2008-03-10_13.23.16.45 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-10 11:31:16 76,006 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-03-10 12:25:35 76,006 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-03-10 11:31:16 63,130 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-03-10 12:25:35 63,130 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-10 11:31:16 418,624 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-03-10 12:25:35 418,624 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-03-10 11:31:16 403,528 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-03-10 12:25:35 403,528 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 11:51 202024]
"NVIDIA nTune"="E:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 14:20 81920]
"WhenUSave"="C:\Programme\Save\Save.exe" [2006-08-25 14:45 803184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 07:45 90112 C:\WINDOWS\soundman.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 08:25 1828136]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 14:03 93208]
"GnabTray"="C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe" [ ]
"WinampAgent"="E:\Programme\Winamp\wianmpa.exe" [ ]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"APVXDWIN"="C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.exe" [ ]
"SCANINICIO"="C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe" [ ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-10 12:21 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT HPW]
--a------ 2007-06-29 16:56 278528 C:\Programme\Portrait Displays\HP My Display\DTHtml.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PivotSoftware]
--a------ 2007-02-09 11:17 694008 C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\eMule\\emule.exe"=
"D:\\Gamez\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\Programme\\Azureus\\Azureus.exe"=
"D:\\Gamez\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"D:\\Gamez\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"D:\\Gamez\\SEGA Rally\\SEGA Rally.exe"=
"D:\\Gamez\\SEGA Rally\\SEGA Rally_SSE1.exe"=
"D:\\Gamez\\Kane and Lynch Dead Men\\kaneandlynch.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Gamez\\TrackMania United\\TmUnited.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"E:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"E:\\Programme\\proeWildfire 3.0\\i486_nt\\nms\\nmsd.exe"=
"E:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\xtop.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8371:TCP"= 8371:TCP:Client Tcp Port
"8371:UDP"= 8371:UDP:Client Udp Port

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys [2007-02-09 11:17]
R3 pivotmou;Pivot Mouse/Pointers Filter Driver;C:\WINDOWS\system32\drivers\pivotmou.sys [2007-02-09 11:17]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2004-04-19 09:51]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-10 16:25:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
E:\Programme\nero 8 ultra\Nero 8\Nero BackItUp\NBService.exe
E:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\imapi.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-10 16:28:02 - machine was rebooted [Assi]
ComboFix-quarantined-files.txt 2008-03-10 15:27:59
ComboFix2.txt 2008-03-10 12:23:26
Seitenanfang Seitenende
11.03.2008, 09:44
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 1.
erstelle eine neue cfscript.txt + Anwenden

Zitat

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WhenUSave"=-

File::
C:\WINDOWS\system32\KernelDrv.VIR

Folder::
C:\Programme\Save
2.
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

3.
boote in den abgesicherten Modus, scanne mit Antivirus/Avira + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
11.03.2008, 12:04
...neu hier

Themenstarter

Beiträge: 6
#7 Erstmal muss ich sagen, dass Dldr.Agent.jjg.1 schon seit gestern nicht mehr rumgenervt hat! Danke dafür! Aber es gibt trotzdem immer wieder neue Funde, bis vor ein paar wochen hatte ich nie Probleme damit! Hast du vllt nen Plan woran das liegt? An den Einstellungen meines Systems hat sich nichts geändert!
Nun der Report:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '29' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Gamez & Loadz>
D:\Incoming\nau\.FL Studio 7.1 Patch.rar
[0] Archivtyp: CAB (Microsoft)
--> Installer-Crack-Keygen.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/P2P.Agent.N
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48225e61.qua' verschoben!
Beginne mit der Suche in 'E:\' <Programme>
Beginne mit der Suche in 'F:\' <Mugge & Filme>


Ende des Suchlaufs: Dienstag, 11. März 2008 11:49
Benötigte Zeit: 1:06:19 min

Der Suchlauf wurde vollständig durchgeführt.

15023 Verzeichnisse wurden überprüft
670906 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
670905 Dateien ohne Befall
6103 Archive wurden durchsucht
2 Warnungen
53 Hinweise
Seitenanfang Seitenende
11.03.2008, 12:41
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo,

du hast einen keygen geladen und damit auch einen Trojaner, denn wer Keygens erstellt, will auch was davon haben ...freien Zugang auf dein System ;)

wende sysclean an, scanne genau nach Aneitung + poste den report
http://www.virus-protect.org/sysclean_trendmicro.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
11.03.2008, 15:48
...neu hier

Themenstarter

Beiträge: 6
#9 /--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/


20723 files have been read.
20723 files have been checked.
14683 files have been scanned.
25154 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 3/11/2008 13:59:33 4 minutes 58 seconds (297.67 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2008-03-11, 13:59:33, Scanner "C:\sysclean\VSCANTM.BIN" has finished running.
Seitenanfang Seitenende
11.03.2008, 16:35
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 fein ;) alles wieder io. ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
11.03.2008, 16:59
...neu hier

Themenstarter

Beiträge: 6
#11 vielen lieben dank unbekannter fremder! einen schönen tag noch!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: