Home » Viren, Trojaner & Malware Forum » Probleme mit TR/Crypt.XPack.gen » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Probleme mit TR/Crypt.XPack.gen

13.04.2008, 17:56

Sebastian1986

...neu hier

Beiträge: 6

#1 Hey!

Hatte/bzw. habe TR/Crypt.XPack.gen. Habe mich mal durchs Forum durchgearbeitet und alle möglichen Anleitungen befolgt...habe Combofix ausgeführt etc...

Wäre nett, wenn mir jemand sagen könnte, ob noch ein Virus drauf ist und wie ich ihn wieder los werde. Seit dem TR/Crypt....spinnt nämlich mein Firefox. Manchmal stürzt er so ab, aber absolut jedes mal, wenn ich etwas herunter laden möchte, dass länger als ein paar Sekunden dauert.

Vielen Dank für eure Hilfe!

Hier meine Files:

Datfind

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von c:\

13.04.2008 17:50 0 dirdat.txt
13.04.2008 17:47 29.204 ComboFix.txt
13.04.2008 13:07 1.071.763.456 hiberfil.sys
13.04.2008 13:07 1.610.612.736 pagefile.sys
09.04.2008 03:42 211 boot.ini
09.04.2008 02:40 19.286 cleanup.exe
07.04.2008 23:55 2 839718926
22.02.2008 11:59 11.674.881 OK_Go_-_Here_It_Goes_Again.3gp
03.02.2008 14:56 166 Arcade.log
29.08.2006 23:39 78 Preload.aaa
29.08.2006 23:21 849 IPH.PH
25.08.2006 07:43 50 AUTOEXEC.BAT
25.08.2006 07:35 519 RHDSetup.log
25.08.2006 07:22 0 MSDOS.SYS
25.08.2006 07:22 0 CONFIG.SYS
25.08.2006 07:22 0 IO.SYS
04.08.2004 05:00 4.952 bootfont.bin
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 47.564 NTDETECT.COM
11.11.1999 00:17 49 XPH.TAG
20 Datei(en) 2.694.405.187 Bytes
0 Verzeichnis(se), 63.960.219.648 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

13.04.2008 13:08 747 eRLog.ini
13.04.2008 13:07 51.048 nvapps.xml
10.04.2008 05:19 330.688 FNTCACHE.DAT
06.04.2008 07:56 19.836.024 MRT.exe
30.03.2008 23:56 1.158 wpa.dbl
25.03.2008 12:47 6.583 jupdate-1.6.0_05-b13.log
20.03.2008 10:03 1.845.376 win32k.sys
04.03.2008 00:55 185.944 rmoc3260.dll
04.03.2008 00:55 5.632 pndx5032.dll
04.03.2008 00:55 6.656 pndx5016.dll
04.03.2008 00:55 278.528 pncrt.dll
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:54 52.224 msfeedsbs.dll
01.03.2008 14:54 459.264 msfeeds.dll
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 124.928 advpack.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 347.136 dxtmsft.dll
29.02.2008 10:54 70.656 ie4uinit.exe
28.02.2008 00:29 196 ikhcore.cfg
28.02.2008 00:28 54.614 perfc009.dat
28.02.2008 00:28 911.076 PerfStringBackup.INI
28.02.2008 00:28 65.858 perfc007.dat
28.02.2008 00:28 396.596 perfh007.dat
28.02.2008 00:28 384.930 perfh009.dat
22.02.2008 12:00 13.824 ieudinit.exe
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 148.992 dnsapi.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
15.02.2008 19:13 60.273 pthreadGC2.dll
15.02.2008 19:13 7.680 ff_vfw.dll
15.02.2008 19:13 547 ff_vfw.dll.manifest
15.02.2008 07:44 161.792 ieakui.dll
04.02.2008 01:12 5.628 jupdate-1.6.0_03-b05.log
03.02.2008 19:20 142.102 TZLog.log
03.02.2008 18:44 3 EUupdate.installed
03.02.2008 18:44 23.392 nscompat.tlb
03.02.2008 18:44 16.832 amcompat.tlb
03.02.2008 18:17 3 vbrun60sp6.installed
03.02.2008 17:47 3 Wordpad-Converter-ZLib-update.installed
03.02.2008 15:29 100 LuResult.txt
03.02.2008 15:09 3.251 lvcoinst.log
03.02.2008 15:06 51 Installer.log
03.02.2008 15:02 308 results.txt
03.02.2008 14:52 37.619 $winnt$.inf

Verzeichnis von C:\WINDOWS

13.04.2008 17:47 53.248 PSEXESVC.EXE
13.04.2008 17:47 227 system.ini
13.04.2008 17:45 34.038 setupapi.log
13.04.2008 13:10 1.058.732 WindowsUpdate.log
13.04.2008 13:10 416.690 msxml4-KB936181-enu.LOG
13.04.2008 13:08 4.200 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
13.04.2008 13:08 159 wiadebug.log
13.04.2008 13:07 0 0.log
13.04.2008 13:07 2.048 bootstat.dat
13.04.2008 03:01 32.626 SchedLgU.Txt
13.04.2008 03:01 50 wiaservc.log
13.04.2008 03:01 12 bthservsdp.dat
09.04.2008 18:12 1.355 imsins.log
09.04.2008 18:12 1.545 msgsocm.log
09.04.2008 18:12 11.795 tsoc.log
09.04.2008 18:12 10.223 comsetup.log
09.04.2008 18:12 1.710 ocmsn.log
09.04.2008 18:12 15.377 KB948881.log
09.04.2008 18:12 14.580 ocgen.log
09.04.2008 18:12 30.793 FaxSetup.log
09.04.2008 18:12 4.918 iis6.log
09.04.2008 18:12 6.199 ntdtcsetup.log
09.04.2008 18:12 20.765 KB941693.log
09.04.2008 18:12 1.355 imsins.BAK
09.04.2008 18:12 21.228 KB947864-IE7.log
09.04.2008 18:12 4.716 updspapi.log
09.04.2008 18:11 15.104 KB948590.log
09.04.2008 18:10 15.049 KB945553.log
09.04.2008 18:10 0 setuperr.log
09.04.2008 18:10 0 setupact.log
09.04.2008 03:42 613 win.ini
08.04.2008 15:23 2.160 BM313e2b3d.txt
26.03.2008 14:56 54.156 QTFont.qfn
03.03.2008 03:36 32 CD_Start.INI
22.02.2008 17:44 38 AviSplitter.INI
07.02.2008 22:50 1.409 QTFont.for
04.02.2008 02:47 1.478 mozver.dat
03.02.2008 19:23 1.594 VPNInstall.MIF
03.02.2008 18:44 316.640 WMSysPr9.prx
03.02.2008 17:06 1.482.352 setupapi.log.0.old
03.02.2008 15:45 123 HotFix.bat
03.02.2008 15:22 2 msoffice.ini
03.02.2008 15:06 81 alaunch.ini
03.02.2008 15:06 88 GridV.UNI
03.02.2008 15:01 79 LManager.UNI
03.02.2008 14:47 8.192 REGLOCS.OLD
13.06.2007 14:10 1.036.288 explorer.exe

Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

13.04.2008 17:49 29.204 log.txt
13.04.2008 13:08 262.144 ima2.tmp
13.04.2008 13:08 262.144 ima1.tmp
3 Datei(en) 553.492 Bytes
0 Verzeichnis(se), 63.960.121.344 Bytes frei

Combofix

ComboFix 08-04-08.7 - Sebastian 2008-04-13 17:45:34.3 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.580 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sebastian\Startmenü\Programme\Antivierensoftware\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-13 bis 2008-04-13 ))))))))))))))))))))))))))))))
.

2008-04-10 06:02 . 2008-04-10 06:02 <DIR> d-------- C:\Programme\Hamachi
2008-04-09 18:10 . 2008-04-09 18:12 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-09 02:40 . 2008-04-09 02:40 19,286 --a------ C:\cleanup.exe
2008-04-09 02:12 . 2008-04-09 02:12 <DIR> d-------- C:\Programme\RegCleaner
2008-04-09 01:59 . 2008-04-09 01:59 <DIR> d-------- C:\Programme\Trend Micro
2008-04-09 01:11 . 2008-04-09 01:11 <DIR> d-------- C:\Programme\CCleaner
2008-04-08 20:34 . 2008-04-08 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-08 16:07 . 2008-04-08 16:07 <DIR> d--hs---- C:\FOUND.001
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Programme\Avira
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-08 15:20 . 2008-04-08 15:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-08 14:29 . 2008-04-08 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\BitTorrent
2008-04-08 14:27 . 2008-04-08 14:27 <DIR> d-------- C:\Programme\BitTorrent
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-04-08 13:06 . 2006-08-25 07:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acer
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-07 23:54 . 2008-04-07 23:55 2 --a------ C:\839718926
2008-04-06 18:55 . 2008-04-06 18:55 <DIR> d-------- C:\Programme\LittleFighter2
2008-03-28 22:27 . 2008-03-28 22:27 <DIR> d-------- C:\Programme\FLV Player
2008-03-28 16:51 . 2008-03-28 16:51 <DIR> d-------- C:\Programme\ISO Commander
2008-03-28 16:01 . 2008-03-28 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\DAEMON Tools
2008-03-28 16:01 . 2008-03-28 16:01 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-03-28 15:52 . 1997-07-06 20:22 756,736 --------- C:\WINDOWS\system32\ir41_32.dll
2008-03-28 14:00 . 1998-10-21 18:43 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-25 18:22 . 2008-03-25 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Hamachi
2008-03-25 18:22 . 2008-04-10 06:02 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-21 00:49 . 2008-03-21 00:49 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-03-20 12:38 . 2008-03-20 12:38 <DIR> d-------- C:\Programme\ExcelEverywhere

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-08 16:08 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\dvdcss
2008-03-08 16:00 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\CyberLink
2008-03-03 22:55 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-03-03 21:49 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:47 --------- d-----w C:\Programme\Visagesoft
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
2008-03-02 19:31 --------- d-----w C:\Programme\PartyGaming
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 11:10 --------- d-----w C:\Programme\XMedia Recode
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-27 23:01 --------- d-----w C:\Programme\Quest Software
2008-02-27 23:01 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Quest Software-Funnelweb
2008-02-27 22:34 --------- d-----w C:\Programme\Spyware Protector
2008-02-27 22:25 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Leadertech
2008-02-27 22:18 --------- d-----w C:\Programme\Logic Software
2008-02-27 22:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logic Software
2008-02-27 19:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-27 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 11:47 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\phpDesigner 2008
2008-02-27 11:03 --------- d-----w C:\Programme\phpDesigner 2008
2008-02-23 16:45 --------- d-----w C:\Programme\MSECache
2008-02-23 16:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-02-23 08:27 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Winamp
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-22 09:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-20 17:58 --------- d-----w C:\Programme\Nvu
2008-02-20 17:58 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Nvu
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-18 19:29 --------- d-----w C:\Programme\FileZilla
2008-02-15 17:13 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-02-15 17:13 60,273 ----a-w C:\WINDOWS\system32\pthreadGC2.dll
2008-02-15 09:28 --------- d-----w C:\Programme\IrfanView
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
.

((((((((((((((((((((((((((((( snapshot@2008-04-09_ 3.11.12.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-07 01:04:44 124,928 ------w C:\WINDOWS\ie7updates\KB947864-IE7\advpack.dll
+ 2007-12-19 21:48:08 347,136 ------w C:\WINDOWS\ie7updates\KB947864-IE7\dxtmsft.dll
+ 2007-12-07 01:04:44 214,528 ------w C:\WINDOWS\ie7updates\KB947864-IE7\dxtrans.dll
+ 2007-12-07 01:04:44 133,120 ------w C:\WINDOWS\ie7updates\KB947864-IE7\extmgr.dll
+ 2007-12-07 01:04:44 63,488 ------w C:\WINDOWS\ie7updates\KB947864-IE7\icardie.dll
+ 2007-12-06 10:00:26 70,656 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ie4uinit.exe
+ 2007-12-07 01:04:44 153,088 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ieakeng.dll
+ 2007-12-07 01:04:44 230,400 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ieaksie.dll
+ 2007-12-06 03:59:52 161,792 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ieakui.dll
+ 2007-12-07 01:04:44 383,488 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ieapfltr.dll
+ 2007-12-07 01:04:46 384,512 ------w C:\WINDOWS\ie7updates\KB947864-IE7\iedkcs32.dll
+ 2007-12-07 01:04:46 6,066,176 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ieframe.dll
+ 2007-12-07 01:04:46 44,544 ------w C:\WINDOWS\ie7updates\KB947864-IE7\iernonce.dll
+ 2007-12-07 01:04:46 267,776 ------w C:\WINDOWS\ie7updates\KB947864-IE7\iertutil.dll
+ 2007-12-06 10:00:58 13,824 ------w C:\WINDOWS\ie7updates\KB947864-IE7\ieudinit.exe
+ 2007-12-06 10:00:52 625,664 ------w C:\WINDOWS\ie7updates\KB947864-IE7\iexplore.exe
+ 2007-12-07 01:04:48 27,648 ------w C:\WINDOWS\ie7updates\KB947864-IE7\jsproxy.dll
+ 2007-12-07 01:04:48 459,264 ------w C:\WINDOWS\ie7updates\KB947864-IE7\msfeeds.dll
+ 2007-12-07 01:04:48 52,224 ------w C:\WINDOWS\ie7updates\KB947864-IE7\msfeedsbs.dll
+ 2007-12-08 04:04:50 3,592,192 ------w C:\WINDOWS\ie7updates\KB947864-IE7\mshtml.dll
+ 2007-12-07 01:04:48 478,208 ------w C:\WINDOWS\ie7updates\KB947864-IE7\mshtmled.dll
+ 2007-12-07 01:04:48 193,024 ------w C:\WINDOWS\ie7updates\KB947864-IE7\msrating.dll
+ 2007-12-07 01:04:50 671,232 ------w C:\WINDOWS\ie7updates\KB947864-IE7\mstime.dll
+ 2007-12-07 01:04:50 102,912 ------w C:\WINDOWS\ie7updates\KB947864-IE7\occache.dll
+ 2008-01-11 04:33:00 44,544 ------w C:\WINDOWS\ie7updates\KB947864-IE7\pngfilt.dll
+ 2007-03-06 01:14:14 217,312 ------w C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:26 377,568 ------w C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\updspapi.dll
+ 2007-12-07 01:04:50 105,984 ------w C:\WINDOWS\ie7updates\KB947864-IE7\url.dll
+ 2007-12-07 01:04:50 1,159,680 ------w C:\WINDOWS\ie7updates\KB947864-IE7\urlmon.dll
+ 2007-12-07 01:04:50 233,472 ------w C:\WINDOWS\ie7updates\KB947864-IE7\webcheck.dll
+ 2007-12-07 01:04:50 824,832 ------w C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll
- 2008-03-19 21:46:58 1,165,584 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\accicons.exe
+ 2008-04-09 16:12:44 1,165,584 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\accicons.exe
- 2008-03-19 21:46:58 20,240 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
+ 2008-04-09 16:12:44 20,240 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\cagicon.exe
- 2008-03-19 21:46:58 159,504 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\inficon.exe
+ 2008-04-09 16:12:44 159,504 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\inficon.exe
- 2008-03-19 21:46:58 184,080 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\joticon.exe
+ 2008-04-09 16:12:44 184,080 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\joticon.exe
- 2008-03-19 21:46:58 217,864 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\misc.exe
+ 2008-04-09 16:12:44 217,864 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\misc.exe
- 2008-03-19 21:46:58 18,704 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
+ 2008-04-09 16:12:44 18,704 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\mspicons.exe
- 2008-03-19 21:46:58 35,088 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
+ 2008-04-09 16:12:44 35,088 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\oisicon.exe
- 2008-03-19 21:46:58 845,584 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\outicon.exe
+ 2008-04-09 16:12:44 845,584 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\outicon.exe
- 2008-03-19 21:46:58 922,384 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\pptico.exe
+ 2008-04-09 16:12:44 922,384 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\pptico.exe
- 2008-03-19 21:46:58 272,648 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\pubs.exe
+ 2008-04-09 16:12:44 272,648 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\pubs.exe
- 2008-03-19 21:46:58 888,080 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
+ 2008-04-09 16:12:44 888,080 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\wordicon.exe
- 2008-03-19 21:46:58 1,172,240 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
+ 2008-04-09 16:12:44 1,172,240 ----a-r C:\WINDOWS\Installer\{91120000-0030-0000-0000-0000000FF1CE}\xlicons.exe
- 2007-12-07 01:04:44 124,928 ----a-w C:\WINDOWS\system32\advpack.dll
+ 2008-03-01 12:53:52 124,928 ----a-w C:\WINDOWS\system32\advpack.dll
- 2007-12-07 01:04:44 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll
+ 2008-03-01 12:53:52 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll
- 2007-12-19 21:48:08 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2008-03-01 12:53:52 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2007-12-07 01:04:44 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2008-03-01 12:53:52 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2007-12-07 01:04:44 133,120 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2008-03-01 12:53:52 133,120 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
- 2007-12-07 01:04:44 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
+ 2008-03-01 12:53:52 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
- 2007-12-07 01:04:44 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
+ 2008-03-01 12:53:52 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
- 2007-12-07 01:04:44 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
+ 2008-03-01 12:53:52 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
- 2007-12-07 01:04:44 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
+ 2008-03-01 12:53:52 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
- 2007-12-07 01:04:46 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
+ 2008-03-01 12:53:54 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
- 2007-12-07 01:04:46 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
+ 2008-03-01 12:53:56 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
- 2007-12-07 01:04:46 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll
+ 2008-03-01 12:53:58 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll
- 2007-12-07 01:04:46 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
+ 2008-03-01 12:53:58 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
- 2007-12-07 01:04:48 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2008-03-01 12:53:58 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2006-06-26 16:40:34 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll
+ 2008-02-20 05:33:54 148,992 ----a-w C:\WINDOWS\system32\dnsapi.dll
- 2007-12-19 21:48:08 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2008-03-01 12:53:52 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2007-12-07 01:04:44 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2008-03-01 12:53:52 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2007-12-07 01:04:44 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll
+ 2008-03-01 12:53:52 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll
- 2008-03-30 21:56:36 330,688 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-04-10 03:19:04 330,688 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-12-07 01:04:44 63,488 ----a-w C:\WINDOWS\system32\icardie.dll
+ 2008-03-01 12:53:52 63,488 ----a-w C:\WINDOWS\system32\icardie.dll
- 2007-12-06 10:00:26 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe
+ 2008-02-29 08:54:44 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe
- 2007-12-07 01:04:44 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll
+ 2008-03-01 12:53:52 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll
- 2007-12-07 01:04:44 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll
+ 2008-03-01 12:53:52 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll
- 2007-12-06 03:59:52 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll
+ 2008-02-15 05:44:26 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll
- 2007-12-07 01:04:44 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll
+ 2008-03-01 12:53:52 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll
- 2007-12-07 01:04:46 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll
+ 2008-03-01 12:53:54 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll
- 2007-12-07 01:04:46 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll
+ 2008-03-01 12:53:56 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll
- 2007-12-07 01:04:46 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll
+ 2008-03-01 12:53:58 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll
- 2007-12-07 01:04:46 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll
+ 2008-03-01 12:53:58 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll
- 2007-12-06 10:00:58 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe
+ 2008-02-22 10:00:52 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe
- 2007-12-07 01:04:48 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2008-03-01 12:53:58 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll
- 2008-03-05 15:30:54 19,148,408 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-04-06 05:56:20 19,836,024 ----a-w C:\WINDOWS\system32\MRT.exe
- 2007-12-07 01:04:48 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll
+ 2008-03-01 12:54:00 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll
- 2007-12-07 01:04:48 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll
+ 2008-03-01 12:54:00 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll
- 2007-12-08 04:04:50 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2008-03-01 16:24:04 3,591,680 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2007-12-07 01:04:48 478,208 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2008-03-01 12:54:02 478,208 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2007-12-07 01:04:48 193,024 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2008-03-01 12:54:04 193,024 ----a-w C:\WINDOWS\system32\msrating.dll
- 2007-12-07 01:04:50 671,232 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2008-03-01 12:54:04 671,232 ----a-w C:\WINDOWS\system32\mstime.dll
- 2007-12-07 01:04:50 102,912 ----a-w C:\WINDOWS\system32\occache.dll
+ 2008-03-01 12:54:04 102,912 ----a-w C:\WINDOWS\system32\occache.dll
- 2008-01-11 04:33:00 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2008-03-01 12:54:04 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll
- 2007-03-06 00:14:12 15,584 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-03-06 01:14:08 15,584 ------w C:\WINDOWS\system32\spmsg.dll
- 2007-12-07 01:04:50 105,984 ----a-w C:\WINDOWS\system32\url.dll
+ 2008-03-01 12:54:04 105,984 ----a-w C:\WINDOWS\system32\url.dll
- 2007-12-07 01:04:50 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2008-03-01 12:54:04 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll
- 2007-12-07 01:04:50 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll
+ 2008-03-01 12:54:06 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d11bc971-b538-4e5d-9dc4-5f3baef9c838}]
C:\WINDOWS\system32\peendoqt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13 77824]
"LaunchApp"="Alaunch" []
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15 45056]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 15:50 69632]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 16:11 7577600]
"nwiz"="nwiz.exe" [2006-06-12 16:11 1519616 C:\WINDOWS\system32\nwiz.exe]
"PCMService"="C:\Program Files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 22:29 151552]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 19:29 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 12:54 3080704]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 18:00 397312]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-06-23 10:39 225280]
"LogitechVideo[inspector]"="C:\Programme\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 15:55 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 18:22 262144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe" [2007-08-08 06:43 966656]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-04 00:55 185896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-08 15:55 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\Sebastian\Startmen\Programme\Autostart\
Trillian.lnk - C:\Programme\Trillian\trillian.exe [2007-12-11 1873280]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-02-03 19:23:51 6144]
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmKccd]
opnmKccd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"msacm.l3codecp"=
"msacm.mkdmp3enc"= C:\PROGRA~2\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nuc07.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pwe22.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pxf07.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vdk07.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\320d18a1]
C:\WINDOWS\system32\odwljcwf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
--a------ 2006-07-20 22:15 593920 C:\PROGRA~1\LAUNCH~1\LManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2006-06-26 15:47 331776 C:\Programme\Acer\OrbiCam\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-06-12 16:11 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-29 23:21 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rmxcehs]
c:\dokumente und einstellungen\sebastian\lokale einstellungen\anwendungsdaten\rmxcehs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate]
C:\flciijjq.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 12:41]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 12:41]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 12:20]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 10:40]
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]
S0 nuc07;nuc07;C:\WINDOWS\system32\Drivers\Nuc07.sys []
S0 pwe22;pwe22;C:\WINDOWS\system32\Drivers\Pwe22.sys []
S0 pxf07;pxf07;C:\WINDOWS\system32\Drivers\Pxf07.sys []
S0 vdk07;vdk07;C:\WINDOWS\system32\Drivers\Vdk07.sys []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\subsystems]
"Windows"= basesrv.dll

*Newly Created Service* - INT15.SYS
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-13 17:47:08
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-13 17:47:33
ComboFix-quarantined-files.txt 2008-04-13 15:47:30
ComboFix3.txt 2008-04-09 01:11:30
ComboFix2.txt 2008-04-09 01:36:48
14 Verzeichnis(se), 63,821,414,400 Bytes frei
19 Verzeichnis(se), 63,802,441,728 Bytes frei
.
2008-04-13 11:10:12 --- E O F ---

Hijackthis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:44, on 13.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\admServ.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\VPN Client\cvpnd.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {838c9fea-b3f5-4cd9-d5e4-835b179cb11d} - {d11bc971-b538-4e5d-9dc4-5f3baef9c838} - C:\WINDOWS\system32\peendoqt.dll (file missing)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: opnmKccd - opnmKccd.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 9855 bytes

13.04.2008, 18:07

ttc2

Member

Beiträge: 33

#2 hey,

bei mir hatte antivir auch den "TR.Crypt.XPACK.Gen" Trojaner entdeckt. ich habe ihn in die Quarantäne verschoben, mich mit antivir in verbindung gesetzt und die erzeugten .QUA Dateien bei Antivir per mail zur anlyse eingeschickt. ergebnis war: Fehlalarm - alle Dateien waren sauber. jedoch hat bei mir nach dem verschieben in die Quarantäne nichts gesponnen, alles hat funktioniert.

mfg
ttc2

13.04.2008, 18:23

Sabina

Ehrenmitglied

Beiträge: 29434

#3 Sebastian1986

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
nuc07
pwe22
pxf07
vdk07

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nuc07.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pwe22.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pxf07.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vdk07.sys]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rmxcehs]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d11bc971-b538-4e5d-9dc4-5f3baef9c838}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\320d18a1]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmKccd]

File::
c:\dokumente und einstellungen\sebastian\lokale einstellungen\anwendungsdaten\rmxcehs.exe
C:\WINDOWS\system32\Drivers\Nuc07.sys
C:\WINDOWS\system32\Drivers\Pwe22.sys
C:\WINDOWS\system32\Drivers\Pxf07.sys
C:\WINDOWS\system32\Drivers\Vdk07.sys
C:\flciijjq.exe
C:\WINDOWS\system32\odwljcwf.dll
C:\WINDOWS\system32\peendoqt.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

PC neustarten
--------------

poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

13.04.2008, 23:30

Sebastian1986

...neu hier

Themenstarter

Beiträge: 6

#4 Vielen, vielen, Dank, dass du dir so eine Mühe gemacht hast! Woher wusstest du welche Registry Einträge und welche driver verseucht sind? erfahrungswerte? Danke nochmal!

Also, hier ist mein nues log von combofix!

ComboFix 08-04-08.7 - Sebastian 2008-04-13 23:23:09.4 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.680 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sebastian\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sebastian\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
c:\dokumente und einstellungen\sebastian\lokale einstellungen\anwendungsdaten\rmxcehs.exe
C:\flciijjq.exe
C:\WINDOWS\system32\Drivers\Nuc07.sys
C:\WINDOWS\system32\Drivers\Pwe22.sys
C:\WINDOWS\system32\Drivers\Pxf07.sys
C:\WINDOWS\system32\Drivers\Vdk07.sys
C:\WINDOWS\system32\odwljcwf.dll
C:\WINDOWS\system32\peendoqt.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_pwe22
-------\Service_pxf07
-------\Service_vdk07

((((((((((((((((((((((( Dateien erstellt von 2008-03-13 bis 2008-04-13 ))))))))))))))))))))))))))))))
.

2008-04-10 06:02 . 2008-04-10 06:02 <DIR> d-------- C:\Programme\Hamachi
2008-04-09 18:10 . 2008-04-09 18:12 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-09 02:40 . 2008-04-09 02:40 19,286 --a------ C:\cleanup.exe
2008-04-09 02:12 . 2008-04-09 02:12 <DIR> d-------- C:\Programme\RegCleaner
2008-04-09 01:59 . 2008-04-09 01:59 <DIR> d-------- C:\Programme\Trend Micro
2008-04-09 01:11 . 2008-04-09 01:11 <DIR> d-------- C:\Programme\CCleaner
2008-04-08 20:34 . 2008-04-08 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-08 16:07 . 2008-04-08 16:07 <DIR> d--hs---- C:\FOUND.001
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Programme\Avira
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-08 15:20 . 2008-04-08 15:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-08 14:29 . 2008-04-08 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\BitTorrent
2008-04-08 14:27 . 2008-04-08 14:27 <DIR> d-------- C:\Programme\BitTorrent
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-04-08 13:06 . 2006-08-25 07:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acer
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-07 23:54 . 2008-04-07 23:55 2 --a------ C:\839718926
2008-04-06 18:55 . 2008-04-06 18:55 <DIR> d-------- C:\Programme\LittleFighter2
2008-03-28 22:27 . 2008-03-28 22:27 <DIR> d-------- C:\Programme\FLV Player
2008-03-28 16:51 . 2008-03-28 16:51 <DIR> d-------- C:\Programme\ISO Commander
2008-03-28 16:01 . 2008-03-28 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\DAEMON Tools
2008-03-28 16:01 . 2008-03-28 16:01 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-03-28 15:52 . 1997-07-06 20:22 756,736 --------- C:\WINDOWS\system32\ir41_32.dll
2008-03-28 14:00 . 1998-10-21 18:43 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-25 18:22 . 2008-03-25 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Hamachi
2008-03-25 18:22 . 2008-04-10 06:02 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-21 00:49 . 2008-03-21 00:49 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-03-20 12:38 . 2008-03-20 12:38 <DIR> d-------- C:\Programme\ExcelEverywhere

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-08 16:08 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\dvdcss
2008-03-08 16:00 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\CyberLink
2008-03-03 22:55 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-03-03 21:49 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:47 --------- d-----w C:\Programme\Visagesoft
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
2008-03-02 19:31 --------- d-----w C:\Programme\PartyGaming
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 11:10 --------- d-----w C:\Programme\XMedia Recode
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-27 23:01 --------- d-----w C:\Programme\Quest Software
2008-02-27 23:01 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Quest Software-Funnelweb
2008-02-27 22:34 --------- d-----w C:\Programme\Spyware Protector
2008-02-27 22:25 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Leadertech
2008-02-27 22:18 --------- d-----w C:\Programme\Logic Software
2008-02-27 22:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logic Software
2008-02-27 19:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-27 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 11:47 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\phpDesigner 2008
2008-02-27 11:03 --------- d-----w C:\Programme\phpDesigner 2008
2008-02-23 16:45 --------- d-----w C:\Programme\MSECache
2008-02-23 16:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-02-23 08:27 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Winamp
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-22 09:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-20 17:58 --------- d-----w C:\Programme\Nvu
2008-02-20 17:58 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Nvu
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-18 19:29 --------- d-----w C:\Programme\FileZilla
2008-02-15 17:13 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-02-15 17:13 60,273 ----a-w C:\WINDOWS\system32\pthreadGC2.dll
2008-02-15 09:28 --------- d-----w C:\Programme\IrfanView
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13 77824]
"LaunchApp"="Alaunch" []
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15 45056]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 15:50 69632]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 16:11 7577600]
"nwiz"="nwiz.exe" [2006-06-12 16:11 1519616 C:\WINDOWS\system32\nwiz.exe]
"PCMService"="C:\Program Files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 22:29 151552]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 19:29 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 12:54 3080704]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 18:00 397312]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-06-23 10:39 225280]
"LogitechVideo[inspector]"="C:\Programme\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 15:55 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 18:22 262144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe" [2007-08-08 06:43 966656]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-04 00:55 185896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-08 15:55 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"msacm.l3codecp"=
"msacm.mkdmp3enc"= C:\PROGRA~2\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
--a------ 2006-07-20 22:15 593920 C:\PROGRA~1\LAUNCH~1\LManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2006-06-26 15:47 331776 C:\Programme\Acer\OrbiCam\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-06-12 16:11 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-29 23:21 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 12:41]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 12:41]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 12:20]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 10:40]
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]
S0 nuc07;nuc07;C:\WINDOWS\system32\Drivers\Nuc07.sys []

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-13 23:25:50
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\System32\CSCDLL.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\admServ.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\VPN Client\cvpnd.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-13 23:27:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-13 21:27:28
ComboFix4.txt 2008-04-09 01:11:30
ComboFix3.txt 2008-04-09 01:36:48
ComboFix2.txt 2008-04-13 15:47:36
14 Verzeichnis(se), 63,898,877,952 Bytes frei
19 Verzeichnis(se), 63,884,394,496 Bytes frei
.
2008-04-13 11:10:12 --- E O F ---

14.04.2008, 00:12

Sabina

Ehrenmitglied

Beiträge: 29434

#5 Hallo Sebastian1986

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

nuc07

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-------------------------------------------------

««
wende sdfix an (geht nur im abgesicherten Modus) - poste nach neustart den report, der erscheint
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

14.04.2008, 01:01

Sebastian1986

...neu hier

Themenstarter

Beiträge: 6

#6 Also, hab nuc07 in regsrch eingegeben und sdfix im abgesicherten modus ohne netzwerkgeräte gestartet.

Logfile regsrch:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "nuc07" 14.04.2008 00:24:41

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\nuc07.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07\0000]
"Service"="Nuc07"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07\0000]
"DeviceDesc"="Nuc07"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nuc07]
"ImagePath"="System32\\Drivers\\Nuc07.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nuc07\security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nuc07\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nuc07\Enum]
"0"="Root\\legacy_nuc07\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\nuc07]
"ImagePath"="System32\\Drivers\\Nuc07.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\nuc07.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07\0000]
"Service"="Nuc07"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07\0000]
"DeviceDesc"="Nuc07"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nuc07]
"ImagePath"="System32\\Drivers\\Nuc07.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nuc07\security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nuc07.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07\0000]
"Service"="Nuc07"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07\0000]
"DeviceDesc"="Nuc07"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuc07]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuc07]
"ImagePath"="System32\\Drivers\\Nuc07.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuc07\security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuc07\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuc07\Enum]
"0"="Root\\legacy_nuc07\\0000"

SDFIX:

SDFix: Version 1.170
Run by Sebastian on 14.04.2008 at 00:48

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\839718~1 - Deleted
C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted

[color=red]Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use [url=http://www.gmer.net/gmer.zip]Gmer[/url] or [url=http://www.freedrweb.com/cureit]Dr.Web CureIt[/url][/color]

Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 00:52:34
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"="C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"="C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe:*:Disabled:phpDesigner2008"
"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"="C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE:*:Enabled:Firefox"
"C:\\WINDOWS\\System32\\dplaysvr.exe"="C:\\WINDOWS\\System32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :

C:\WINDOWS\Temp\fa56d7ec.$$$ Found

File Backups: - C:\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 25 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Fri 25 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Fri 25 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Fri 25 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Fri 25 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 3 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\85340112bbd6e8e87cd2b06a5a061295\BITD.tmp"
Sun 3 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f74f22341ea24f7a62906db7ee163f9c\BITE.tmp"
Sun 3 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\315d46ed27f963d919efbf16f871a5db\BITF.tmp"
Sun 3 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\da14bb0847bdcfe4ac5504c842552241\BIT18.tmp"
Sun 3 Feb 2008 2,306,976 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\802a123189a0a9d728fceadb24acd103\BIT3.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ed6c7531380802fe7c2504f3909edb19\BIT5.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad2d37be81d37204b0a12680c06ffd51\BIT6.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2d9afc485ff57441ce14a08241df89e8\BIT9.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BIT7.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT3.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT8.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT4.tmp"

Finished!

14.04.2008, 01:17

Sabina

Ehrenmitglied

Beiträge: 29434

#7 ««
erstelle eine neue cfscript.txt -Änderung der zuerst erstellten zulassen

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\nuc07.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nuc07]
[-HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\nuc07]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\nuc07.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nuc07]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nuc07.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuc07]

File::
C:\WINDOWS\Temp\fa56d7ec.$$$
C:\WINDOWS\system32\Drivers\Nuc07.sys

boote diesmal in den abgesicherten Modus und wende Combofix dort an !

wieder cfscript.txt auf combofix ziehen + Combofix noch mal anwenden + poste den neuen Report von Combofix
---------------------------------------------

Note - Files associated with the MBR Rootkit have been found

««
http://virus-protect.org/artikel/tools/gmer.html
- Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

14.04.2008, 01:51

Sebastian1986

...neu hier

Themenstarter

Beiträge: 6

#8 Hey, also erstmal combofix aus dem abgesicherten modus

ComboFix 08-04-08.7 - Sebastian 2008-04-14 1:39:15.5 - [color=red]FAT32[/color]x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.823 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sebastian\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sebastian\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-13 bis 2008-04-13 ))))))))))))))))))))))))))))))
.

2008-04-14 00:34 . 2008-04-14 00:34 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-14 00:29 . 2008-04-14 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\EurekaLog
2008-04-14 00:26 . 2008-04-14 00:26 <DIR> d-------- C:\SDFix
2008-04-10 06:02 . 2008-04-10 06:02 <DIR> d-------- C:\Programme\Hamachi
2008-04-09 18:10 . 2008-04-09 18:12 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-09 02:40 . 2008-04-09 02:40 19,286 --a------ C:\cleanup.exe
2008-04-09 02:12 . 2008-04-09 02:12 <DIR> d-------- C:\Programme\RegCleaner
2008-04-09 01:59 . 2008-04-09 01:59 <DIR> d-------- C:\Programme\Trend Micro
2008-04-09 01:11 . 2008-04-09 01:11 <DIR> d-------- C:\Programme\CCleaner
2008-04-08 20:34 . 2008-04-08 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-08 16:07 . 2008-04-08 16:07 <DIR> d--hs---- C:\FOUND.001
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Programme\Avira
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-08 15:20 . 2008-04-08 15:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-08 14:29 . 2008-04-08 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\BitTorrent
2008-04-08 14:27 . 2008-04-08 14:27 <DIR> d-------- C:\Programme\BitTorrent
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-04-08 13:06 . 2006-08-25 07:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acer
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-06 18:55 . 2008-04-06 18:55 <DIR> d-------- C:\Programme\LittleFighter2
2008-03-28 22:27 . 2008-03-28 22:27 <DIR> d-------- C:\Programme\FLV Player
2008-03-28 16:51 . 2008-03-28 16:51 <DIR> d-------- C:\Programme\ISO Commander
2008-03-28 16:01 . 2008-03-28 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\DAEMON Tools
2008-03-28 16:01 . 2008-03-28 16:01 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-03-28 15:52 . 1997-07-06 20:22 756,736 --------- C:\WINDOWS\system32\ir41_32.dll
2008-03-28 14:00 . 1998-10-21 18:43 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-25 18:22 . 2008-03-25 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Hamachi
2008-03-25 18:22 . 2008-04-10 06:02 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-21 00:49 . 2008-03-21 00:49 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-03-20 12:38 . 2008-03-20 12:38 <DIR> d-------- C:\Programme\ExcelEverywhere

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-08 16:08 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\dvdcss
2008-03-08 16:00 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\CyberLink
2008-03-03 22:55 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-03-03 21:49 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:47 --------- d-----w C:\Programme\Visagesoft
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
2008-03-02 19:31 --------- d-----w C:\Programme\PartyGaming
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 11:10 --------- d-----w C:\Programme\XMedia Recode
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-27 23:01 --------- d-----w C:\Programme\Quest Software
2008-02-27 23:01 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Quest Software-Funnelweb
2008-02-27 22:34 --------- d-----w C:\Programme\Spyware Protector
2008-02-27 22:25 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Leadertech
2008-02-27 22:18 --------- d-----w C:\Programme\Logic Software
2008-02-27 22:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logic Software
2008-02-27 19:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-27 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 11:47 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\phpDesigner 2008
2008-02-27 11:03 --------- d-----w C:\Programme\phpDesigner 2008
2008-02-23 16:45 --------- d-----w C:\Programme\MSECache
2008-02-23 16:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-02-23 08:27 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Winamp
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-22 09:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-20 17:58 --------- d-----w C:\Programme\Nvu
2008-02-20 17:58 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Nvu
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-18 19:29 --------- d-----w C:\Programme\FileZilla
2008-02-15 17:13 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-02-15 17:13 60,273 ----a-w C:\WINDOWS\system32\pthreadGC2.dll
2008-02-15 09:28 --------- d-----w C:\Programme\IrfanView
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
.

((((((((((((((((((((((((((((( snapshot_2008-04-13_17.47.18,64 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-12 17:16:40 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-13 22:46:36 5,373,952 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-04-13 22:46:36 192,512 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-12 17:16:40 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-13 22:34:54 5,373,952 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-04-13 22:34:56 192,512 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13 77824]
"LaunchApp"="Alaunch" []
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15 45056]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 15:50 69632]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 16:11 7577600]
"nwiz"="nwiz.exe" [2006-06-12 16:11 1519616 C:\WINDOWS\system32\nwiz.exe]
"PCMService"="C:\Program Files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 22:29 151552]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 19:29 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 12:54 3080704]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 18:00 397312]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-06-23 10:39 225280]
"LogitechVideo[inspector]"="C:\Programme\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 15:55 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 18:22 262144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe" [2007-08-08 06:43 966656]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-04 00:55 185896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-08 15:55 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\Sebastian\Startmen\Programme\Autostart\
Trillian.lnk - C:\Programme\Trillian\trillian.exe [2007-12-11 1873280]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-02-03 19:23:51 6144]
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"msacm.l3codecp"=
"msacm.mkdmp3enc"= C:\PROGRA~2\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
--a------ 2006-07-20 22:15 593920 C:\PROGRA~1\LAUNCH~1\LManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2006-06-26 15:47 331776 C:\Programme\Acer\OrbiCam\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-06-12 16:11 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-29 23:21 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

S0 nuc07;nuc07;C:\WINDOWS\system32\Drivers\Nuc07.sys []
S1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
S2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 12:41]
S2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 12:41]
S2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
S2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
S3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 12:20]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 10:40]
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]

*Newly Created Service* - MDMXSDK
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 01:41:25
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-14 1:41:49
ComboFix-quarantined-files.txt 2008-04-13 23:41:48
ComboFix5.txt 2008-04-09 01:11:30
ComboFix4.txt 2008-04-09 01:36:48
ComboFix3.txt 2008-04-13 15:47:36
ComboFix2.txt 2008-04-13 21:27:32
15 Verzeichnis(se), 64,861,765,632 Bytes frei
20 Verzeichnis(se), 64,843,415,552 Bytes frei
.
2008-04-13 11:10:12 --- E O F ---

aus gmer.exe eingefügt, ausgeführt im abgesicherten modus:

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-14 01:43:40
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT sphs.sys ZwEnumerateKey [0xF75A2CA2]
SSDT sphs.sys ZwEnumerateValueKey [0xF75A3030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86B7A1F8
Device \FileSystem\Fastfat \Fat 86F461F8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Threads - GMER 1.0.14 ----

Thread 4:204 86BC5BF6

---- EOF - GMER 1.0.14 ----

gmer normal hochgefahren:

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-14 01:50:08
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT spzy.sys ZwEnumerateKey [0xF7470CA2]
SSDT spzy.sys ZwEnumerateValueKey [0xF7471030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86822500

AttachedDevice \FileSystem\Ntfs \Ntfs OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)

Device \FileSystem\Fastfat \Fat 86D491F8

AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Threads - GMER 1.0.14 ----

Thread 4:1496 859E9BF6
Thread 4:1504 859EB9A0
Thread 4:1508 859E3E5C
Thread 4:1512 859E9F38
Thread 4:1876 859E3886
Thread 4:1880 859E3886
Thread 4:2020 85A1C0A0
Thread 4:2032 85A091A0
Thread 4:2036 85A51DD0
Thread 4:2052 859F5220
Thread 4:2060 859E9D22

---- EOF - GMER 1.0.14 ----

14.04.2008, 10:14

Sabina

Ehrenmitglied

Beiträge: 29434

#9 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte auch angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable
Nuc07

Drivers to delete:
Nuc07

registry keys to delete:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\nuc07.sys
HKLM\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07
HKLM\SYSTEM\ControlSet001\Services\nuc07
HKLM\SYSTEM\controlset002\services\nuc07
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\nuc07.sys
HKLM\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07
HKLM\SYSTEM\ControlSet003\Services\nuc07
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nuc07.sys
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07
HKLM\SYSTEM\CurrentControlSet\Services\nuc07

Files to delete:
C:\WINDOWS\Temp\fa56d7ec.$$$
C:\WINDOWS\system32\Drivers\Nuc07.sys

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

falls es Fehlermeldungen gibt, klicke solange, bis der Rechner bootet, wenns sein muss drei, vier mal und mehr

der Rechner wird, wenn alles glatt geht ZWEIMAL neustarten !

----------------

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt),kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

-----------------

dann wende Combofix noch mal an + poste den report, d.h mich interssiert nur das hier:
S0 nuc07;nuc07;C:\WINDOWS\system32\Drivers\Nuc07.sys []
DAS MUSS RAUS !
__________
MfG Sabina

rund um die PC-Sicherheit

14.04.2008, 18:14

Sebastian1986

...neu hier

Themenstarter

Beiträge: 6

#10 also, alles fertig:

avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Apr 14 18:00:23 2008

18:00:23: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "Nuc07" disabled successfully.
Driver "Nuc07" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\nuc07.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet001\Enum\Root\legacy_nuc07" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet001\Services\nuc07" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\nuc07" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\controlset002\services\nuc07" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\nuc07.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Enum\Root\legacy_nuc07" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\nuc07" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nuc07.sys" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nuc07.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_nuc07" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\nuc07" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\nuc07" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\Temp\fa56d7ec.$$$" deleted successfully.

Error: file "C:\WINDOWS\system32\Drivers\Nuc07.sys" not found!
Deletion of file "C:\WINDOWS\system32\Drivers\Nuc07.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

und combofix:

ComboFix 08-04-08.7 - Sebastian 2008-04-14 18:06:25.6 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.576 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sebastian\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-14 bis 2008-04-14 ))))))))))))))))))))))))))))))
.

2008-04-14 01:42 . 2008-04-14 01:46 250 --a------ C:\WINDOWS\gmer.ini
2008-04-14 00:34 . 2008-04-14 00:34 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-14 00:29 . 2008-04-14 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\EurekaLog
2008-04-14 00:26 . 2008-04-14 00:26 <DIR> d-------- C:\SDFix
2008-04-10 06:02 . 2008-04-10 06:02 <DIR> d-------- C:\Programme\Hamachi
2008-04-09 18:10 . 2008-04-09 18:12 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-09 02:12 . 2008-04-09 02:12 <DIR> d-------- C:\Programme\RegCleaner
2008-04-09 01:59 . 2008-04-09 01:59 <DIR> d-------- C:\Programme\Trend Micro
2008-04-09 01:11 . 2008-04-09 01:11 <DIR> d-------- C:\Programme\CCleaner
2008-04-08 20:34 . 2008-04-08 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-08 16:07 . 2008-04-08 16:07 <DIR> d--hs---- C:\FOUND.001
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Programme\Avira
2008-04-08 15:53 . 2008-04-08 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-08 15:20 . 2008-04-08 15:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-08 14:29 . 2008-04-08 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\BitTorrent
2008-04-08 14:27 . 2008-04-08 14:27 <DIR> d-------- C:\Programme\BitTorrent
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-08 13:06 . 2006-08-25 07:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-04-08 13:06 . 2006-08-29 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-04-08 13:06 . 2006-08-25 07:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acer
2008-04-08 13:06 . 2006-08-25 07:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-06 18:55 . 2008-04-06 18:55 <DIR> d-------- C:\Programme\LittleFighter2
2008-03-28 22:27 . 2008-03-28 22:27 <DIR> d-------- C:\Programme\FLV Player
2008-03-28 16:51 . 2008-03-28 16:51 <DIR> d-------- C:\Programme\ISO Commander
2008-03-28 16:01 . 2008-03-28 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\DAEMON Tools
2008-03-28 16:01 . 2008-03-28 16:01 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-03-28 15:52 . 1997-07-06 20:22 756,736 --------- C:\WINDOWS\system32\ir41_32.dll
2008-03-28 14:00 . 1998-10-21 18:43 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-25 18:22 . 2008-03-25 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Hamachi
2008-03-25 18:22 . 2008-04-10 06:02 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-21 00:49 . 2008-03-21 00:49 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-03-20 12:38 . 2008-03-20 12:38 <DIR> d-------- C:\Programme\ExcelEverywhere

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-08 16:08 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\dvdcss
2008-03-08 16:00 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\CyberLink
2008-03-03 22:55 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-03-03 21:49 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF 5
2008-03-03 21:47 --------- d-----w C:\Programme\Visagesoft
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
2008-03-03 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
2008-03-02 19:31 --------- d-----w C:\Programme\PartyGaming
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 11:10 --------- d-----w C:\Programme\XMedia Recode
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-27 23:01 --------- d-----w C:\Programme\Quest Software
2008-02-27 23:01 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Quest Software-Funnelweb
2008-02-27 22:34 --------- d-----w C:\Programme\Spyware Protector
2008-02-27 22:25 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Leadertech
2008-02-27 22:18 --------- d-----w C:\Programme\Logic Software
2008-02-27 22:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logic Software
2008-02-27 19:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-27 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 11:47 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\phpDesigner 2008
2008-02-27 11:03 --------- d-----w C:\Programme\phpDesigner 2008
2008-02-23 16:45 --------- d-----w C:\Programme\MSECache
2008-02-23 16:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-02-23 08:27 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Winamp
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-22 09:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-20 17:58 --------- d-----w C:\Programme\Nvu
2008-02-20 17:58 --------- d-----w C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Nvu
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-18 19:29 --------- d-----w C:\Programme\FileZilla
2008-02-15 17:13 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-02-15 17:13 60,273 ----a-w C:\WINDOWS\system32\pthreadGC2.dll
2008-02-15 09:28 --------- d-----w C:\Programme\IrfanView
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
.

((((((((((((((((((((((((((((( snapshot_2008-04-13_17.47.18,64 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-12 17:16:40 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-13 22:46:36 5,373,952 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-04-13 22:46:36 192,512 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-12 17:16:40 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-13 22:34:54 5,373,952 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-04-13 22:34:56 192,512 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-04-13 23:42:40 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-03-03 18:29:06 761,856 ----a-w C:\WINDOWS\gmer.exe
+ 2008-04-13 23:42:40 86,097 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13 77824]
"LaunchApp"="Alaunch" []
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15 45056]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 15:50 69632]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 16:11 7577600]
"nwiz"="nwiz.exe" [2006-06-12 16:11 1519616 C:\WINDOWS\system32\nwiz.exe]
"PCMService"="C:\Program Files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 22:29 151552]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 19:29 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 12:54 3080704]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 18:00 397312]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-06-23 10:39 225280]
"LogitechVideo[inspector]"="C:\Programme\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 15:55 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 18:22 262144]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF 5\vspdfprsrv.exe" [2007-08-08 06:43 966656]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-04 00:55 185896]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-08 15:55 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\Sebastian\Startmen\Programme\Autostart\
Trillian.lnk - C:\Programme\Trillian\trillian.exe [2007-12-11 1873280]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-02-03 19:23:51 6144]
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"msacm.l3codecp"=
"msacm.mkdmp3enc"= C:\PROGRA~2\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
--a------ 2006-07-20 22:15 593920 C:\PROGRA~1\LAUNCH~1\LManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2006-06-26 15:47 331776 C:\Programme\Acer\OrbiCam\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-06-12 16:11 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-29 23:21 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 12:41]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 12:41]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 12:20]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 10:40]
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]

*Newly Created Service* - INT15.SYS
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 18:07:45
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-14 18:08:08
ComboFix-quarantined-files.txt 2008-04-14 16:08:06
ComboFix5.txt 2008-04-09 01:36:48
ComboFix4.txt 2008-04-13 15:47:36
ComboFix3.txt 2008-04-13 21:27:32
ComboFix2.txt 2008-04-13 23:41:52
16 Verzeichnis(se), 63,739,199,488 Bytes frei
21 Verzeichnis(se), 63,722,258,432 Bytes frei
.
2008-04-13 23:52:53 --- E O F ---

14.04.2008, 18:54

Sabina

Ehrenmitglied

Beiträge: 29434

#11 ««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lösche das backup vom Avenger (im avenger ordner) + leere den Papierkorb

««
lösche das backup von sdfix (im sdfix Ordner)

««
um zu sehen, ob der rootkit auch weg ist, musst du noch mal mit sdfix (im abgesicherten Modus) scannen..SORRY, aber bei rootkitbefall muss man alles dreifach und vierfach prüfen ...oder gleich formatieren

««
scanne mit F-secure/Onlinescan + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1