Home » Viren, Trojaner & Malware Forum » Adware verdacht Ultimate Defender / AV Scann nicht moeglich » Themenansicht

Adware verdacht Ultimate Defender / AV Scann nicht moeglich
#0
01.05.2008, 22:18
Accler
...neu hier

Beiträge: 4
#1 Hallo,
eigentlich bekomme ich so etwas immer alleine in den Griff, aber nun bin ich mit meinem Latein am ende. Ich hab mir heute einen Trojan Zlop eingefangen. Der bleib ne Zeit lang inaktiv und ist jetzt ausgebrochen. Er hat mir ein Adware draufgehauen. wahrscheinlich Ultimate Defender. Kaspersky geht nicht mehr an. Er zeigt mir auch kein Error wenn ich es öffnen will. Onlinescanner gehen alle nicht. HOSTS ist auser localhost und ein Eintrag für ne Spiel sauber. Ich gehe davon aus ich hab mir den in ner dll eingefangen. Wäre nice wenn ihr mir helfen könntet.

SmitFraudFix Report

Code

SmitFraudFix v2.319

Scan done at 21:56:13,34, 01.05.2008
Run from C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ROOT~1.POL\FAVORI~1

C:\DOKUME~1\ROOT~1.POL\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\ROOT~1.POL\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\ROOT~1.POL\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="cru629.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g PCI Wireless Network Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{78A8C195-9949-4B0E-A5E5-834600E5FD07}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{78A8C195-9949-4B0E-A5E5-834600E5FD07}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{78A8C195-9949-4B0E-A5E5-834600E5FD07}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{78A8C195-9949-4B0E-A5E5-834600E5FD07}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Code

C:\DOKUME~1\ROOT~1.POL\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\ROOT~1.POL\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\ROOT~1.POL\FAVORI~1\Spyware?Malware Protection.url FOUND !
Die hab ich bereits gelöscht. Aber ausser ner Schönheitsnote bekomm ich ja nun auch nix dafür.

Hier noch ne paar Pics von Spyhunter 3:
http://img3.imagebanana.com/view/4o7xw11/4portecus.gif
Die winsys.exe is meine. Neu programmiert, AV an und als Keylogger "enttarnt". Interessant :-/. Was alles in den Feldern darüber steht, wollt ihr gar nicht sehen. Das tut ja mir schon weh. Die kommen schnappe ich mir sobald dieser Adware runter ist.

Mfg:
Accler
Seitenanfang Seitenende
01.05.2008, 22:44
raman
Moderator

Beiträge: 7805
#2 Hier helfen nur die Punkte 1, 2 und 3 :

http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.05.2008, 00:38
Accler
...neu hier

Themenstarter

Beiträge: 4
#3 CCleaner ausgeführt.
Combofix funktioniert nicht. Durch Maleware geblockt.
Hijackthis funktioniert nicht. Durch Maleware geblockt.

Selbst im Abgesicherten Modus funktionieren die Programme nicht.

datafind.bat Log
.
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: XXXX-XXXX

Verzeichnis von C:\WINDOWS\system32

01.05.2008 21:56 0 tmp.txt
01.05.2008 21:56 1.906 tmp.reg
01.05.2008 21:28 308.712 winivstr.exe
01.05.2008 21:10 6.656 univrs32.dat
01.05.2008 21:10 88.566 nvapps.xml
01.05.2008 21:09 6.144 cru629.dat
01.05.2008 21:09 18.432 braviax.exe
01.05.2008 21:03 18.432 braviax_.exe
01.05.2008 19:41 107.832 PnkBstrB.exe
29.04.2008 23:19 1.374 wpa.dbl
27.04.2008 19:18 153.976 FNTCACHE.DAT
19.04.2008 13:45 310
2008-04-19-11-36-03.053-VBoxSVC.exe-3572.log
10.04.2008 18:24 22.528 MSWINSCK.oca
10.04.2008 18:21 29.184 MSINET.oca
06.04.2008 14:39 43.520 CmdLineExt03.dll
30.03.2008 18:51 432.856 perfh009.dat
30.03.2008 18:51 80.270 perfc007.dat
30.03.2008 18:51 448.918 perfh007.dat
30.03.2008 18:51 67.560 perfc009.dat
30.03.2008 18:51 1.043.642 PerfStringBackup.INI
23.03.2008 04:30 75.876 winsys.exe
22.03.2008 16:27 2.996 rgml.dll
21.03.2008 23:54 0 asfiles.txt
21.03.2008 23:38 2.550 Uninstall.ico
21.03.2008 23:38 1.406 Help.ico
21.03.2008 23:38 30.590 pavas.ico
19.03.2008 02:05 0 1.exe
19.03.2008 02:02 75.876 1
04.03.2008 23:37 18.944 wk32.dll
04.03.2008 23:37 3.584 ic32.dll
20.02.2008 22:49 198.656 COMDLG32.OCX
20.02.2008 22:49 389.120 actskn43.ocx
20.02.2008 22:49 77.824 ANSSLPLUS.dll
20.02.2008 22:49 372.736 ANSMTP.dll
11.02.2008 21:51 5.204 SysPr.prx
11.02.2008 21:35 51.733 plugin1.dat
01.02.2008 00:13 90.112 QuickTimeVR.qtx
01.02.2008 00:13 57.344 QuickTime.qts

2199 Datei(en) 469.199.094 Bytes
0 Verzeichnis(se), 75.822.604.288 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: XXXX-XXXX

Verzeichnis von C:\DOKUME~1\ROOT~1.POL\LOKALE~1\Temp

02.05.2008 00:46 107.785 datfind.txt
02.05.2008 00:40 16.384 Perflib_Perfdata_a40.dat
01.05.2008 21:28 71.680 Binaries1.zip
01.05.2008 20:54 6.328 java_install_reg.log
01.05.2008 18:48 72.192 ~e5.0001
28.04.2008 21:22 24.516 SIntfNT.dll
28.04.2008 21:22 19.924 SIntf32.dll
28.04.2008 21:22 12.067 SIntf16.dll
28.04.2008 21:22 36.864 CmdLineExt02.dll
06.04.2008 15:51 40.448 CmdLineExt03.dll
25.03.2008 14:57 45.056 sres.dll
25.03.2008 14:53 696.320 cres.dll
25.03.2008 14:53 2.502.656 cshell.dll
22.03.2008 18:50 136.194 dd_RGB9RAST_x86.msi35AC.txt
22.03.2008 15:32 32.768 swt-awt-win32-3346.dll
11.02.2008 02:24 4.608 i4jdel0.exe
26 Datei(en) 5.469.424 Bytes
0 Verzeichnis(se), 75.822.624.768 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: XXXX-XXXX

Verzeichnis von C:\WINDOWS

02.05.2008 00:07 754 WORDPAD.INI
01.05.2008 21:10 159 wiadebug.log
01.05.2008 21:10 50 wiaservc.log
01.05.2008 21:09 2.048 bootstat.dat
01.05.2008 21:09 6.144 cru629.dat
01.05.2008 21:09 18.432 braviax.exe
01.05.2008 21:07 862 win.ini
01.05.2008 21:07 227 system.ini
01.05.2008 21:03 18.432 braviax_.exe
01.05.2008 21:02 32.556 SchedLgU.Txt
01.05.2008 16:57 69 NeroDigital.ini
20.04.2008 12:52 335 mozregistry.dat
12.04.2008 21:54 316.640 WMSysPr9.prx
10.04.2008 18:25 95 vbaddin.ini
10.04.2008 18:17 4.161 ODBCINST.INI
10.04.2008 18:17 926 ODBC.INI
10.04.2008 18:17 1.309 vb.ini
23.03.2008 02:58 55.296 services.exe
12.02.2008 23:14 1.191 pftp.ini
11.02.2008 18:08 418 Proxyrama.INI
111 Datei(en) 58.816.323 Bytes
0 Verzeichnis(se), 75.822.612.480 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: XXXX-XXXX

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: XXXX-XXXX

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.02.2008 15:59 487.424 oscan82.ocx
26.02.2008 15:42 7.724 lang.ini
07.02.2008 14:06 1.248 oscan8.inf
16 Datei(en) 1.211.984 Bytes
0 Verzeichnis(se), 75.822.616.576 Bytes frei
.
.
.

breviax_.exe ist entstanden da ich die Datei im Abgesicherten Modus umbenannt habe, aber er hat ein recovery drinne.
Dieser Beitrag wurde am 02.05.2008 um 00:50 Uhr von Accler editiert.
Seitenanfang Seitenende
02.05.2008, 00:43
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 RVAXO
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken
Starte dein Recher in abgesicherten Modus

Öffne die Datei RVAXO und doppelklick “RunMe.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd

Malwarebytes Anti-Malware
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
__________
MfG Argus
Seitenanfang Seitenende
02.05.2008, 01:10
Accler
...neu hier

Themenstarter

Beiträge: 4
#5 o.O Okey. Ich wusste zwar das ich mir ab und an etwas einfange, aber das es jetzt schon CIA und PorRat ist. Depremierend.

Code

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 707

Scan Art: Schnell Scan
Objekte gescannt: 36142
Scan Dauer: 11 minute(s), 12 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 12

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\n.cs4 (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0958c4c9-77b0-4aa8-9364-7886bfca7e39} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9f1c5a0-f3d8-48e2-8b8c-3e86b4cac7e3} (BackDoor.Ciadoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mediarovercodec (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\egodktf.brfm (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\egodktf.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\MSVPS.MSVPSApp (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\VAC.Video (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MediaRoverCodec (Trojan.Fakealert) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\cru629.dat (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\winivstr.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\cru629.dat (Trojan.FakeAlert) -> No action taken.
C:\Programme\MediaRoverCodec\install.ico (Trojan.Fakealert) -> No action taken.
C:\Programme\MediaRoverCodec\Uninstall.exe (Trojan.Fakealert) -> No action taken.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> No action taken.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> No action taken.
C:\WINDOWS\system32\univrs32.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\braviax.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\services.exe (BackDoor.ProRat) -> No action taken.
C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\delself.bat (Malware.Trace) -> No action taken.

Hoffentlich habe ich jetzt nichts falsches gemacht. Er wollte die Windows CD von mir.

Code

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 707

Scan Art: Schnell Scan
Objekte gescannt: 36142
Scan Dauer: 11 minute(s), 12 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 12

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\n.cs4 (BackDoor.Ciadoor) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{0958c4c9-77b0-4aa8-9364-7886bfca7e39} (BackDoor.Ciadoor) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9f1c5a0-f3d8-48e2-8b8c-3e86b4cac7e3} (BackDoor.Ciadoor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mediarovercodec (Trojan.Fakealert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\egodktf.brfm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\egodktf.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MSVPS.MSVPSApp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\VAC.Video (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MediaRoverCodec (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\cru629.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\cru629.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\MediaRoverCodec\install.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\MediaRoverCodec\Uninstall.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\univrs32.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\services.exe (BackDoor.ProRat) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

RVAXO Log folgt.

Super. Sollte jetzt weg sein. Kaspersky springt wieder an. Danke euch.
Dieser Beitrag wurde am 02.05.2008 um 01:20 Uhr von Accler editiert.
Seitenanfang Seitenende
02.05.2008, 05:51
raman
Moderator

Beiträge: 7805
#6 Die Punkte 2 und 3 sind immer noch ratsam.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.05.2008, 10:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\system32\rgml.dll


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

-------------

scheint diese Verseuchung zu sein...
http://www.sophos.com/security/analyses/viruses-and-spyware/trojspywadax.html

einige dateien sind von Malwarebyts nicht erkannt worden...
also:

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Drivers to disable:
beep

Drivers to delete:
beep

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run | braviax

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax

Files to delete:
C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Lokale Einstellungen\Temp\i4jdel0.exe
C:\WINDOWS\system32\drivers\beep.sys
C:\WINDOWS\system32\dllcache\beep.sys
C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\delself.bat
C:\WINDOWS\services.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\braviax.exe
C:\WINDOWS\braviax_.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\1
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\winivstr.exe
C:\WINDOWS\system32\univrs32.dat
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\braviax_.exe

Folders to delete:
C:\Programme\MediaRoverCodec

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

--------------------------------
««
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

««
wende combofix an, Warnmeldung wegklicken + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html


--------------------------------
««
inwieweit die bootstat.dat zur Malware gehört, muss man erst rausfinden...solange nicht entfernen...
01.05.2008 21:09 2.048 bootstat.dat
01.05.2008 21:09 6.144 cru629.dat
01.05.2008 21:09 18.432 braviax.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2008, 13:52
Accler
...neu hier

Themenstarter

Beiträge: 4
#8 WOW. Bei euch wird Maleware ja regelrecht geschlachtet.
Okey, wenn ihr mir schon anbietet mein PC auseinander zu nehmen, dann nehme ich das Angebot gerne an. Da lernt man nie aus.

Combofix

Code

ComboFix 08-05-01.1 - Root 2008-05-02 13:06:28.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1594 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\dat.txt
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\SysPr.prx
C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\system32\wl.exe

----- BITS: Possible infected sites -----

hxxp://onsafepro.com
.
(((((((((((((((((((((((   Dateien erstellt von 2008-04-02 bis 2008-05-02  ))))))))))))))))))))))))))))))
.

2008-05-02 00:51 . 2008-05-02 00:51    <DIR>    d--------    C:\Programme\Malwarebytes' Anti-Malware
2008-05-02 00:51 . 2008-05-02 00:51    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Malwarebytes
2008-05-02 00:51 . 2008-05-02 00:51    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-02 00:32 . 2008-05-02 00:32    <DIR>    d--------    C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2008-05-01 21:56 . 2008-05-01 21:56    1,906    --a------    C:\WINDOWS\system32\tmp.reg
2008-05-01 21:26 . 2008-05-01 21:29    <DIR>    d--------    C:\WINDOWS\BDOSCAN8
2008-05-01 21:12 . 2008-05-01 21:12    <DIR>    d--------    C:\Programme\Enigma Software Group
2008-05-01 21:06 . 2008-05-01 21:06    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-01 20:55 . 2008-05-01 21:03    18,432    --a------    C:\WINDOWS\braviax_.exe
2008-05-01 20:54 . 2008-05-01 21:03    18,432    --a------    C:\WINDOWS\system32\braviax_.exe
2008-05-01 01:04 . 2008-05-01 01:04    33,824    --a------    C:\WINDOWS\system32\drivers\oreans32.sys
2008-04-27 14:17 . 2008-04-27 15:18    <DIR>    d--------    C:\Programme\VirtualDJ
2008-04-25 14:37 . 2008-04-25 14:51    <DIR>    d--------    C:\asm
2008-04-20 17:28 . 2008-04-20 17:30    <DIR>    d--------    C:\Programme\123 Hidden Sender
2008-04-20 15:56 . 2008-04-20 15:56    3,118    --a------    C:\wbb3.php
2008-04-20 14:03 . 2008-04-20 15:49    <DIR>    d--------    C:\Programme\Power Email Verifier
2008-04-20 14:03 . 2008-04-20 14:03    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{117AFA56-E1A0-46A8-8D0A-8271096BC48B}
2008-04-20 13:40 . 2008-04-20 13:40    359,040    --a------    C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-04-20 12:52 . 2008-04-20 12:52    335    --a------    C:\WINDOWS\mozregistry.dat
2008-04-20 12:50 . 2008-04-20 12:50    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Talkback
2008-04-19 21:54 . 2008-04-19 21:54    5,935    --a------    C:\phpkit_new.pl
2008-04-19 19:30 . 2008-04-19 19:32    <DIR>    d--------    C:\Programme\Warsow
2008-04-19 19:30 . 2008-04-19 19:30    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Warsow
2008-04-19 17:21 . 2008-04-19 17:24    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\.zenmap
2008-04-19 17:20 . 2008-04-19 17:20    <DIR>    d--------    C:\Programme\Nmap
2008-04-13 20:26 . 2008-04-13 20:26    <DIR>    d--------    C:\ubuntu-backup
2008-04-12 22:01 . 2008-04-12 22:01    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\SONY Digital Images
2008-04-12 22:00 . 2008-04-12 22:00    <DIR>    d--------    C:\SmartSound Software
2008-04-12 21:59 . 2008-04-12 21:59    <DIR>    d--------    C:\Programme\SmartSound Software
2008-04-12 21:59 . 2008-04-12 21:59    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2008-04-12 21:54 . 2008-04-12 21:54    <DIR>    d--------    C:\Programme\InterVideo
2008-04-12 21:54 . 2008-04-12 21:54    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-04-12 21:54 . 2002-11-21 10:57    204,800    --a------    C:\WINDOWS\system32\IVIresizeW7.dll
2008-04-12 21:54 . 2002-11-21 10:57    200,704    --a------    C:\WINDOWS\system32\IVIresizeA6.dll
2008-04-12 21:54 . 2002-11-21 10:57    192,512    --a------    C:\WINDOWS\system32\IVIresizeP6.dll
2008-04-12 21:54 . 2002-11-21 10:57    192,512    --a------    C:\WINDOWS\system32\IVIresizeM6.dll
2008-04-12 21:54 . 2002-11-21 10:57    188,416    --a------    C:\WINDOWS\system32\IVIresizePX.dll
2008-04-12 21:54 . 2002-11-21 10:57    20,480    --a------    C:\WINDOWS\system32\IVIresize.dll
2008-04-12 21:53 . 2008-04-12 21:53    <DIR>    d--------    C:\WINDOWS\system32\windows media
2008-04-12 21:53 . 2008-04-12 21:53    <DIR>    d--h-----    C:\WINDOWS\msdownld.tmp
2008-04-12 21:53 . 2008-04-12 21:53    <DIR>    d--------    C:\Programme\Windows Media-Komponenten
2008-04-12 21:52 . 2008-04-12 22:02    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Ulead Systems
2008-04-12 21:49 . 2008-04-12 21:56    <DIR>    d--------    C:\Programme\Ulead Systems
2008-04-12 21:49 . 2008-04-12 22:01    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-04-12 21:49 . 2008-04-12 22:01    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-04-12 18:01 . 2008-04-12 18:01    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Borland
2008-04-12 18:01 . 2002-11-18 17:20    4,237,344    --a------    C:\WINDOWS\system32\PLUSRUN.EXE
2008-04-12 18:01 . 2002-11-18 14:35    425,984    --a------    C:\WINDOWS\system32\PLUSR_DE.DLL
2008-04-12 18:01 . 1999-10-31 19:41    229,376    --a------    C:\WINDOWS\system32\RESOURCE.DLL
2008-04-12 18:01 . 2003-01-06 11:51    57,856    --a------    C:\WINDOWS\system32\EIGRES32.DLL
2008-04-12 17:48 . 2008-04-12 17:48    <DIR>    d--------    C:\Programme\Franzis
2008-04-12 17:48 . 1996-12-09 20:33    304,128    --a------    C:\WINDOWS\unin0407.exe
2008-04-10 18:24 . 2008-04-10 18:24    22,528    --a------    C:\WINDOWS\system32\MSWINSCK.oca
2008-04-10 18:21 . 2008-04-10 18:21    29,184    --a------    C:\WINDOWS\system32\MSINET.oca
2008-04-10 18:16 . 2008-04-10 18:16    <DIR>    d--------    C:\Programme\Web Publish
2008-04-10 18:16 . 1998-04-29 17:52    145,360    -ra------    C:\WINDOWS\system32\WEBPOST.DLL
2008-04-10 18:16 . 1998-04-29 17:52    121,984    -ra------    C:\WINDOWS\system32\CRSWPP.DLL
2008-04-10 18:16 . 1998-04-29 17:52    112,064    -ra------    C:\WINDOWS\system32\WPWIZDLL.DLL
2008-04-10 18:16 . 1998-05-14 17:30    99,008    -ra------    C:\WINDOWS\system32\POSTWPP.DLL
2008-04-10 18:16 . 1998-04-29 17:52    98,960    -ra------    C:\WINDOWS\system32\FTPWPP.DLL
2008-04-10 18:16 . 1998-05-15 15:57    93,456    -ra------    C:\WINDOWS\system32\FPWPP.DLL
2008-04-10 18:16 . 1998-04-29 17:52    50,816    -ra------    C:\WINDOWS\system32\PIPARSE.DLL
2008-04-08 18:16 . 2008-04-08 18:16    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Alien Skin
2008-04-06 14:39 . 2008-04-06 14:39    43,520    --a------    C:\WINDOWS\system32\CmdLineExt03.dll
2008-04-03 20:49 . 2008-04-03 20:49    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\ysm

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 11:12    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-02 11:11    29,894,176    --sha-w    C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-02 11:11    2,446,368    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-02 11:10    409,772    --sha-w    C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-02 11:10    237,680    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-02 00:52    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Vidalia
2008-05-02 00:52    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\BitTorrent
2008-05-02 00:48    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\tor
2008-05-01 22:29    ---------    d-----w    C:\Programme\Trillian
2008-05-01 20:41    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-01 17:41    22,328    ----a-w    C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-01 15:30    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\OpenOffice.org2
2008-05-01 12:11    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Hamachi
2008-04-30 23:36    ---------    d-----w    C:\Programme\Steam
2008-04-30 22:18    ---------    d-----w    C:\Programme\mIRC
2008-04-30 17:44    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\teamspeak2
2008-04-27 17:57    ---------    d-----w    C:\Programme\MailOut
2008-04-20 14:46    ---------    d-----w    C:\Programme\Turbo-Mailer
2008-04-20 12:08    ---------    d-----w    C:\Programme\Bytesky
2008-04-20 11:40    359,040    ----a-w    C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-04-19 15:21    ---------    d-----w    C:\Programme\WinPcap
2008-04-19 10:33    96,645    ----a-w    C:\WINDOWS\system32\drivers\klin.dat
2008-04-19 10:33    87,941    ----a-w    C:\WINDOWS\system32\drivers\klick.dat
2008-04-19 09:47    ---------    d-----w    C:\Programme\SSS
2008-04-12 19:59    ---------    d--h--w    C:\Programme\InstallShield Installation Information
2008-04-12 19:54    ---------    d-----w    C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-12 19:54    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-01 13:43    ---------    d-----w    C:\Programme\fec
2008-03-31 14:47    ---------    d-----w    C:\Programme\WinBot
2008-03-30 20:38    ---------    d-----w    C:\Programme\ICQLite
2008-03-30 20:37    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\ICQLite
2008-03-28 22:07    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\LimeWire
2008-03-26 17:21    ---------    d-----w    C:\Programme\Trillian Auto Backup
2008-03-25 20:51    304,160    ----a-w    C:\PA207.DAT
2008-03-23 14:29    ---------    d-----w    C:\Programme\Buena Vista Interactive 
2008-03-22 17:22    ---------    d-----w    C:\Programme\Microsoft Visual Studio 9.0
2008-03-22 17:22    ---------    d-----w    C:\Programme\Microsoft Synchronization Services
2008-03-22 17:22    ---------    d-----w    C:\Programme\Microsoft SQL Server Compact Edition
2008-03-22 17:21    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-22 16:58    ---------    d-----w    C:\Programme\Microsoft.NET
2008-03-22 16:58    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Merge Modules
2008-03-22 16:57    ---------    d-----w    C:\Programme\Microsoft SDKs
2008-03-22 16:53    ---------    d-----w    C:\Programme\Reference Assemblies
2008-03-22 16:53    ---------    d-----w    C:\Programme\MSBuild
2008-03-22 16:50    ---------    d-----w    C:\Programme\MSXML 6.0
2008-03-22 16:35    ---------    d-----w    C:\Programme\eMule
2008-03-22 13:31    ---------    d-----w    C:\Programme\LimeWire
2008-03-20 12:53    ---------    d-----w    C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-03-20 12:53    ---------    d-----w    C:\Programme\DVDVideoSoft
2008-03-19 21:34    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Borland Shared
2008-03-19 21:33    ---------    d-----w    C:\Programme\mresreg
2008-03-15 11:24    ---------    d-----w    C:\Programme\Cool Beans NFO Creator
2008-03-14 20:30    ---------    d-----w    C:\Programme\SHOUTcast
2008-03-14 20:17    ---------    d-----w    C:\Programme\Winamp
2008-03-08 15:31    ---------    d-----w    C:\Programme\iTunes
2008-03-08 15:31    ---------    d-----w    C:\Programme\iPod
2008-03-08 15:30    ---------    d-----w    C:\Programme\Bonjour
2008-03-08 15:29    ---------    d-----w    C:\Programme\QuickTime
2008-03-07 14:33    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\uTorrent
2007-12-13 20:29    32    ----a-w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2008-04-20 13:40  359040  7b11118b078b88f87183fe69eda43137    C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-04-20 13:40  359040  7b11118b078b88f87183fe69eda43137    C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 02:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" [2007-03-09 21:50 200768]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoFolderOptions"= 0 (0x0)
"NoLogOff"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"NoSetFolders"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableCurrentUserRun"= 0 (0x0)
"DisableCurrentUserRunOnce"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^btvj.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\btvj.exe
backup=C:\WINDOWS\pss\btvj.exeCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk
backup=C:\WINDOWS\pss\Privoxy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^trdl.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\trdl.exe
backup=C:\WINDOWS\pss\trdl.exeCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WlanUtility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WlanUtility.lnk
backup=C:\WINDOWS\pss\WlanUtility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^Psi.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\Psi.lnk
backup=C:\WINDOWS\pss\Psi.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^Verknüpfung mit data.kdb.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\Verknüpfung mit data.kdb.lnk
backup=C:\WINDOWS\pss\Verknüpfung mit data.kdb.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2003-08-24 13:44 210944 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-01-07 14:54 290112 C:\Programme\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
--a------ 2002-11-02 08:33 45056 C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 14:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dexpot 1.4]
--a------ 2006-05-09 23:25 1286144 C:\Programme\Dexpot\dexpot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT HPW]
--a------ 2007-04-25 13:36 280064 C:\Programme\Portrait Displays\HP My Display\DTHtml.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
--a------ 2002-11-02 08:33 45056 C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface]
--a------ 2007-12-25 23:25 937984 C:\Programme\FileZilla Server\FileZilla Server Interface.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 14:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
--a------ 2007-12-13 22:57 20480 C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2004-10-08 13:06 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2004-10-08 13:31 458752 C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-10-08 13:24 217088 C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2004-10-08 12:52 221184 C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
--a------ 2006-11-03 12:01 319488 C:\WINDOWS\PixArt\PAC207\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 02:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-22 13:22 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 13:22 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RouterControl]
--a------ 2007-09-26 14:41 2479616 C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-10-16 19:30 16855552 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SimpleScreenshot]
--a------ 2005-04-14 02:00 962048 C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-11-16 13:39 21760296 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-11-11 20:28 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
--a------ 2008-01-23 15:47 847872 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-03-28 19:16 1271032 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Quick-Drop]
--a------ 2006-03-08 13:39 118784 C:\Programme\Ulead Systems\Ulead DVD MovieFactory 5\Ulead DVD MovieFactory 5\Quick-Drop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
--a------ 2007-08-26 08:02 11852288 C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WinVNC4"=2 (0x2)
"SharedAccess"=2 (0x2)
"gusvc"=2 (0x2)
"FileZilla Server"=2 (0x2)
"UleadBurningHelper"=2 (0x2)
"TapiSrv"=3 (0x3)
"StarWindServiceAE"=2 (0x2)
"SCardSvr"=3 (0x3)
"lanmanserver"=2 (0x2)
"iPod Service"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"ERSvc"=2 (0x2)
"DTSRVC"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Apache2.2"=2 (0x2)
"AcuWVSScheduler"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-05-01 01:04]
R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-10-18 10:55]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-10-18 10:55]
S2 XAMPP;XAMPP Service;c:\xampp\service.exe [2006-10-23 15:24]
S3 NPF;WinPcap Packet Driver (NPF);C:\WINDOWS\system32\drivers\NPF.sys [2007-11-19 05:31]
S3 PAC207;Trust Webcam Live;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-04-12 17:50]
S3 VBoxTAP;VirtualBox TAP Adapter;C:\WINDOWS\system32\DRIVERS\VBoxTAP.sys [2007-10-18 10:55]
S4 AcuWVSScheduler;Acunetix WVS Scheduler;C:\Programme\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe [2006-07-17 15:51]
S4 Apache2.2;Apache2.2;"C:\xampp\apache\bin\apache.exe" -k runservice []

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 13:12:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-02 13:18:13 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-02 11:18:10

              28 Verzeichnis(se), 75,482,767,360 Bytes frei
              30 Verzeichnis(se), 75,458,412,544 Bytes frei

360

Hijackthis

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:29, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\CF19907.exe
C:\WINDOWS\system32\cscript.exe
C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.thc-game.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - c:\xampp\service.exe

--
End of file - 4639 bytes
C:\WINDOWS\system32\winsys.exe
http://www.virustotal.com/de/analisis/fdfde43350de56ca99922604e8ad04d9

C:\WINDOWS\system32\rgml.dll
http://www.virustotal.com/de/analisis/c0d7f3f76be8d29361a74410bcdacd32

Den Combofix Log nach dem ich Avenger angewand habe, gibs gleich.

THX:
Accler

<edit>
Combofix Log:

Code

ComboFix 08-05-01.1 - Root 2008-05-02 14:03:48.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1631 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Desktop\ComboFix.exe
 * Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((   Dateien erstellt von 2008-04-02 bis 2008-05-02  ))))))))))))))))))))))))))))))
.

2008-05-02 00:51 . 2008-05-02 00:51    <DIR>    d--------    C:\Programme\Malwarebytes' Anti-Malware
2008-05-02 00:51 . 2008-05-02 00:51    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Malwarebytes
2008-05-02 00:51 . 2008-05-02 00:51    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-02 00:32 . 2008-05-02 00:32    <DIR>    d--------    C:\Programme\CCleaner
2008-05-01 21:56 . 2008-05-01 21:56    1,906    --a------    C:\WINDOWS\system32\tmp.reg
2008-05-01 21:26 . 2008-05-01 21:29    <DIR>    d--------    C:\WINDOWS\BDOSCAN8
2008-05-01 21:12 . 2008-05-01 21:12    <DIR>    d--------    C:\Programme\Enigma Software Group
2008-05-01 21:06 . 2008-05-01 21:06    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-01 01:04 . 2008-05-01 01:04    33,824    --a------    C:\WINDOWS\system32\drivers\oreans32.sys
2008-04-27 14:17 . 2008-04-27 15:18    <DIR>    d--------    C:\Programme\VirtualDJ
2008-04-25 14:37 . 2008-04-25 14:51    <DIR>    d--------    C:\asm
2008-04-20 17:28 . 2008-04-20 17:30    <DIR>    d--------    C:\Programme\123 Hidden Sender
2008-04-20 15:56 . 2008-04-20 15:56    3,118    --a------    C:\wbb3.php
2008-04-20 14:03 . 2008-04-20 15:49    <DIR>    d--------    C:\Programme\Power Email Verifier
2008-04-20 14:03 . 2008-04-20 14:03    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{117AFA56-E1A0-46A8-8D0A-8271096BC48B}
2008-04-20 13:40 . 2008-04-20 13:40    359,040    --a------    C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-04-20 12:52 . 2008-04-20 12:52    335    --a------    C:\WINDOWS\mozregistry.dat
2008-04-20 12:50 . 2008-04-20 12:50    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Talkback
2008-04-19 21:54 . 2008-04-19 21:54    5,935    --a------    C:\phpkit_new.pl
2008-04-19 19:30 . 2008-04-19 19:32    <DIR>    d--------    C:\Programme\Warsow
2008-04-19 19:30 . 2008-04-19 19:30    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Warsow
2008-04-19 17:21 . 2008-04-19 17:24    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\.zenmap
2008-04-19 17:20 . 2008-04-19 17:20    <DIR>    d--------    C:\Programme\Nmap
2008-04-13 20:26 . 2008-04-13 20:26    <DIR>    d--------    C:\ubuntu-backup
2008-04-12 22:01 . 2008-04-12 22:01    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\SONY Digital Images
2008-04-12 22:00 . 2008-04-12 22:00    <DIR>    d--------    C:\SmartSound Software
2008-04-12 21:59 . 2008-04-12 21:59    <DIR>    d--------    C:\Programme\SmartSound Software
2008-04-12 21:59 . 2008-04-12 21:59    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2008-04-12 21:54 . 2008-04-12 21:54    <DIR>    d--------    C:\Programme\InterVideo
2008-04-12 21:54 . 2008-04-12 21:54    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-04-12 21:54 . 2002-11-21 10:57    204,800    --a------    C:\WINDOWS\system32\IVIresizeW7.dll
2008-04-12 21:54 . 2002-11-21 10:57    200,704    --a------    C:\WINDOWS\system32\IVIresizeA6.dll
2008-04-12 21:54 . 2002-11-21 10:57    192,512    --a------    C:\WINDOWS\system32\IVIresizeP6.dll
2008-04-12 21:54 . 2002-11-21 10:57    192,512    --a------    C:\WINDOWS\system32\IVIresizeM6.dll
2008-04-12 21:54 . 2002-11-21 10:57    188,416    --a------    C:\WINDOWS\system32\IVIresizePX.dll
2008-04-12 21:54 . 2002-11-21 10:57    20,480    --a------    C:\WINDOWS\system32\IVIresize.dll
2008-04-12 21:53 . 2008-04-12 21:53    <DIR>    d--------    C:\WINDOWS\system32\windows media
2008-04-12 21:53 . 2008-04-12 21:53    <DIR>    d--h-----    C:\WINDOWS\msdownld.tmp
2008-04-12 21:53 . 2008-04-12 21:53    <DIR>    d--------    C:\Programme\Windows Media-Komponenten
2008-04-12 21:52 . 2008-04-12 22:02    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Ulead Systems
2008-04-12 21:49 . 2008-04-12 21:56    <DIR>    d--------    C:\Programme\Ulead Systems
2008-04-12 21:49 . 2008-04-12 22:01    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-04-12 21:49 . 2008-04-12 22:01    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-04-12 18:01 . 2008-04-12 18:01    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Borland
2008-04-12 18:01 . 2002-11-18 17:20    4,237,344    --a------    C:\WINDOWS\system32\PLUSRUN.EXE
2008-04-12 18:01 . 2002-11-18 14:35    425,984    --a------    C:\WINDOWS\system32\PLUSR_DE.DLL
2008-04-12 18:01 . 1999-10-31 19:41    229,376    --a------    C:\WINDOWS\system32\RESOURCE.DLL
2008-04-12 18:01 . 2003-01-06 11:51    57,856    --a------    C:\WINDOWS\system32\EIGRES32.DLL
2008-04-12 17:48 . 2008-04-12 17:48    <DIR>    d--------    C:\Programme\Franzis
2008-04-12 17:48 . 1996-12-09 20:33    304,128    --a------    C:\WINDOWS\unin0407.exe
2008-04-10 18:24 . 2008-04-10 18:24    22,528    --a------    C:\WINDOWS\system32\MSWINSCK.oca
2008-04-10 18:21 . 2008-04-10 18:21    29,184    --a------    C:\WINDOWS\system32\MSINET.oca
2008-04-10 18:16 . 2008-04-10 18:16    <DIR>    d--------    C:\Programme\Web Publish
2008-04-10 18:16 . 1998-04-29 17:52    145,360    -ra------    C:\WINDOWS\system32\WEBPOST.DLL
2008-04-10 18:16 . 1998-04-29 17:52    121,984    -ra------    C:\WINDOWS\system32\CRSWPP.DLL
2008-04-10 18:16 . 1998-04-29 17:52    112,064    -ra------    C:\WINDOWS\system32\WPWIZDLL.DLL
2008-04-10 18:16 . 1998-05-14 17:30    99,008    -ra------    C:\WINDOWS\system32\POSTWPP.DLL
2008-04-10 18:16 . 1998-04-29 17:52    98,960    -ra------    C:\WINDOWS\system32\FTPWPP.DLL
2008-04-10 18:16 . 1998-05-15 15:57    93,456    -ra------    C:\WINDOWS\system32\FPWPP.DLL
2008-04-10 18:16 . 1998-04-29 17:52    50,816    -ra------    C:\WINDOWS\system32\PIPARSE.DLL
2008-04-08 18:16 . 2008-04-08 18:16    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Alien Skin
2008-04-06 14:39 . 2008-04-06 14:39    43,520    --a------    C:\WINDOWS\system32\CmdLineExt03.dll
2008-04-03 20:49 . 2008-04-03 20:49    <DIR>    d--------    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\ysm

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 12:06    30,014,240    --sha-w    C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-02 12:06    2,450,208    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-02 11:58    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-02 11:57    237,896    --sha-w    C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-02 11:56    411,116    --sha-w    C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-02 00:52    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Vidalia
2008-05-02 00:52    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\BitTorrent
2008-05-02 00:48    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\tor
2008-05-01 22:29    ---------    d-----w    C:\Programme\Trillian
2008-05-01 20:41    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-01 17:41    22,328    ----a-w    C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-01 17:41    107,832    ----a-w    C:\WINDOWS\system32\PnkBstrB.exe
2008-05-01 15:30    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\OpenOffice.org2
2008-05-01 12:11    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\Hamachi
2008-04-30 23:36    ---------    d-----w    C:\Programme\Steam
2008-04-30 22:18    ---------    d-----w    C:\Programme\mIRC
2008-04-30 17:44    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\teamspeak2
2008-04-27 17:57    ---------    d-----w    C:\Programme\MailOut
2008-04-20 14:46    ---------    d-----w    C:\Programme\Turbo-Mailer
2008-04-20 12:08    ---------    d-----w    C:\Programme\Bytesky
2008-04-20 11:40    359,040    ----a-w    C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-04-19 15:21    ---------    d-----w    C:\Programme\WinPcap
2008-04-19 10:33    96,645    ----a-w    C:\WINDOWS\system32\drivers\klin.dat
2008-04-19 10:33    87,941    ----a-w    C:\WINDOWS\system32\drivers\klick.dat
2008-04-19 09:47    ---------    d-----w    C:\Programme\SSS
2008-04-12 19:59    ---------    d--h--w    C:\Programme\InstallShield Installation Information
2008-04-12 19:54    ---------    d-----w    C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-12 19:54    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-01 13:43    ---------    d-----w    C:\Programme\fec
2008-03-31 14:47    ---------    d-----w    C:\Programme\WinBot
2008-03-30 20:38    ---------    d-----w    C:\Programme\ICQLite
2008-03-30 20:37    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\ICQLite
2008-03-28 22:07    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\LimeWire
2008-03-26 17:21    ---------    d-----w    C:\Programme\Trillian Auto Backup
2008-03-25 20:51    304,160    ----a-w    C:\PA207.DAT
2008-03-23 14:29    ---------    d-----w    C:\Programme\Buena Vista Interactive 
2008-03-22 17:22    ---------    d-----w    C:\Programme\Microsoft Visual Studio 9.0
2008-03-22 17:22    ---------    d-----w    C:\Programme\Microsoft Synchronization Services
2008-03-22 17:22    ---------    d-----w    C:\Programme\Microsoft SQL Server Compact Edition
2008-03-22 17:21    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-22 16:58    ---------    d-----w    C:\Programme\Microsoft.NET
2008-03-22 16:58    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Merge Modules
2008-03-22 16:57    ---------    d-----w    C:\Programme\Microsoft SDKs
2008-03-22 16:53    ---------    d-----w    C:\Programme\Reference Assemblies
2008-03-22 16:53    ---------    d-----w    C:\Programme\MSBuild
2008-03-22 16:50    ---------    d-----w    C:\Programme\MSXML 6.0
2008-03-22 16:35    ---------    d-----w    C:\Programme\eMule
2008-03-22 14:27    2,996    ----a-w    C:\WINDOWS\system32\rgml.dll
2008-03-22 13:31    ---------    d-----w    C:\Programme\LimeWire
2008-03-20 12:53    ---------    d-----w    C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-03-20 12:53    ---------    d-----w    C:\Programme\DVDVideoSoft
2008-03-19 21:34    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Borland Shared
2008-03-19 21:33    ---------    d-----w    C:\Programme\mresreg
2008-03-15 11:24    ---------    d-----w    C:\Programme\Cool Beans NFO Creator
2008-03-14 20:30    ---------    d-----w    C:\Programme\SHOUTcast
2008-03-14 20:17    ---------    d-----w    C:\Programme\Winamp
2008-03-08 15:31    ---------    d-----w    C:\Programme\iTunes
2008-03-08 15:31    ---------    d-----w    C:\Programme\iPod
2008-03-08 15:30    ---------    d-----w    C:\Programme\Bonjour
2008-03-08 15:29    ---------    d-----w    C:\Programme\QuickTime
2008-03-07 14:33    ---------    d-----w    C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Anwendungsdaten\uTorrent
2008-03-04 21:37    3,584    ----a-w    C:\WINDOWS\system32\ic32.dll
2008-03-04 21:37    18,944    ----a-w    C:\WINDOWS\system32\wk32.dll
2008-02-20 20:49    77,824    ----a-w    C:\WINDOWS\system32\ANSSLPLUS.dll
2008-02-20 20:49    372,736    ----a-w    C:\WINDOWS\system32\ANSMTP.dll
2007-12-13 20:29    32    ----a-w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2008-04-20 13:40  359040  7b11118b078b88f87183fe69eda43137    C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-04-20 13:40  359040  7b11118b078b88f87183fe69eda43137    C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 02:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" [2007-03-09 21:50 200768]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoFolderOptions"= 0 (0x0)
"NoLogOff"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"NoSetFolders"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableCurrentUserRun"= 0 (0x0)
"DisableCurrentUserRunOnce"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^btvj.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\btvj.exe
backup=C:\WINDOWS\pss\btvj.exeCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk
backup=C:\WINDOWS\pss\Privoxy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^trdl.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\trdl.exe
backup=C:\WINDOWS\pss\trdl.exeCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WlanUtility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WlanUtility.lnk
backup=C:\WINDOWS\pss\WlanUtility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^Psi.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\Psi.lnk
backup=C:\WINDOWS\pss\Psi.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^Verknüpfung mit data.kdb.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\Verknüpfung mit data.kdb.lnk
backup=C:\WINDOWS\pss\Verknüpfung mit data.kdb.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Root.POLIT-5C3390DE5^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2003-08-24 13:44 210944 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-01-07 14:54 290112 C:\Programme\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
--a------ 2002-11-02 08:33 45056 C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 14:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dexpot 1.4]
--a------ 2006-05-09 23:25 1286144 C:\Programme\Dexpot\dexpot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT HPW]
--a------ 2007-04-25 13:36 280064 C:\Programme\Portrait Displays\HP My Display\DTHtml.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
--a------ 2002-11-02 08:33 45056 C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface]
--a------ 2007-12-25 23:25 937984 C:\Programme\FileZilla Server\FileZilla Server Interface.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 14:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
--a------ 2007-12-13 22:57 20480 C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2004-10-08 13:06 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2004-10-08 13:31 458752 C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-10-08 13:24 217088 C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2004-10-08 12:52 221184 C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
--a------ 2006-11-03 12:01 319488 C:\WINDOWS\PixArt\PAC207\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 02:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-22 13:22 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 13:22 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RouterControl]
--a------ 2007-09-26 14:41 2479616 C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-10-16 19:30 16855552 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SimpleScreenshot]
--a------ 2005-04-14 02:00 962048 C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-11-16 13:39 21760296 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-11-11 20:28 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
--a------ 2008-01-23 15:47 847872 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-03-28 19:16 1271032 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Quick-Drop]
--a------ 2006-03-08 13:39 118784 C:\Programme\Ulead Systems\Ulead DVD MovieFactory 5\Ulead DVD MovieFactory 5\Quick-Drop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
--a------ 2007-08-26 08:02 11852288 C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WinVNC4"=2 (0x2)
"SharedAccess"=2 (0x2)
"gusvc"=2 (0x2)
"FileZilla Server"=2 (0x2)
"UleadBurningHelper"=2 (0x2)
"TapiSrv"=3 (0x3)
"StarWindServiceAE"=2 (0x2)
"SCardSvr"=3 (0x3)
"lanmanserver"=2 (0x2)
"iPod Service"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"ERSvc"=2 (0x2)
"DTSRVC"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Apache2.2"=2 (0x2)
"AcuWVSScheduler"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-05-01 01:04]
R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-10-18 10:55]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-10-18 10:55]
S2 XAMPP;XAMPP Service;c:\xampp\service.exe [2006-10-23 15:24]
S3 NPF;WinPcap Packet Driver (NPF);C:\WINDOWS\system32\drivers\NPF.sys [2007-11-19 05:31]
S3 PAC207;Trust Webcam Live;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-04-12 17:50]
S3 VBoxTAP;VirtualBox TAP Adapter;C:\WINDOWS\system32\DRIVERS\VBoxTAP.sys [2007-10-18 10:55]
S4 AcuWVSScheduler;Acunetix WVS Scheduler;C:\Programme\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe [2006-07-17 15:51]
S4 Apache2.2;Apache2.2;"C:\xampp\apache\bin\apache.exe" -k runservice []

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 14:07:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-02 14:10:32
ComboFix-quarantined-files.txt  2008-05-02 12:10:21
ComboFix2.txt  2008-05-02 11:18:15

              29 Verzeichnis(se), 78,517,567,488 Bytes frei
              31 Verzeichnis(se), 78,503,477,248 Bytes frei

344
War das jetzt eigentlich das volle Programm oder könnt ihr Maleware noch mehr quälen?

LG:
Accler
</edit>
Dieser Beitrag wurde am 02.05.2008 um 14:15 Uhr von Accler editiert.
Seitenanfang Seitenende
02.05.2008, 14:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo,

prüfe bei virus-total:
C:\WINDOWS\system32\drivers\oreans32.sys

-------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax

Files to delete:
C:\Dokumente und Einstellungen\Root.POLIT-5C3390DE5\Lokale Einstellungen\Temp\i4jdel0.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\1
C:\WINDOWS\system32\tmp.txt

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

---
««
wende datfindbat an + poste die daten bis November 2007
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1