Kein Tool entfernt die Viren / Spyware Vundo und andere schöne Di

#1 Hey habe seid Tagen Probleme mit diversen Trojanern etc
Habe mal ein Log erstellt und hoffe ihr könnt mir damit helfen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:39:54, on 20.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\rappelz_DE_08071111.exe
D:\rappelz_DE_08071111.exe
D:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\R4z0r\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 65.111.169.16:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\Programme\Norton\osCheck.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: zvxhdo.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6366 bytes

#2 Du benutzt zwei Virenscanner,eins zuviel !!

Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\zvxhdo.dll

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Auch wenn man die Updates runter geladen hat ,sollte vor den Scan nochmal nach Updates gesucht werden !

Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus

#3 die datei finde ich garnicht im o.g Ordner
und jetzt?
MBAM hat auch nichts mehr gefunden,aber mein AVIRA spinnt völlig.
Am besten deinstalliere ich das
Was is denn das beste freeware programm,was ich benutzen könnte?

Danke schonmal für die Hilfe!!

#4 avira ist schon das beste. meiner meinung nach.. was tut es denn spinnen ist nicht grad genau...

#5 Sobald ich nen scann mit MBAM starte kommen ein haufen meldungen über infektionen
teils in system volume ordner.aber kein anderer scanner kann irgendwas entdecken...

#6 Hi,
schalte den guard beim malware-bytes-scan aus. dann sollte das net passieren.

#7 Neben Antivir benutzt du auch noch Symantec und ZoneAlarm mit ein Virenscanner?

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !
__________
MfG Argus

#8 @reFlexR

Zitat

(C:\WINDOWS\system32\zvxhdo.dll)- die datei finde ich garnicht im o.g Ordner

Mit dem Explorer kannst Du sie wahrscheinlich erst sehen, wenn Du in den Ordneroptionen die entsprechenden Häkchen setzt/entfernst:
Häkchen raus bei: "Versteckte Systemdateien ausblenden"(Warnung mit OK bestätigen)
Häkchen raus bei: "Erweiterungen bei bekannten Dateitypen ausblenden" (optional)
Häkchen rein bei :- "Inhalte von Systemordnern anzeigen"
Punkt setzen bei :-"Versteckte Dateien und Ordner"--->"Alle Dateien anzeigen"
Wenn Du die besagte Datei bei Virustotal geprüft hast, kannst Du die Optionen wieder zurück stellen

#9 ComboFix 08-09-19.12 - R4z0r 2008-09-20 18:00:00.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1576 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\R4z0r\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\kernel33.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-20 bis 2008-09-20 ))))))))))))))))))))))))))))))
.

2008-09-20 01:05 . 2008-09-20 01:16 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\DoctorWeb
2008-09-20 00:38 . 2008-09-20 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-09-20 00:33 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-09-18 23:48 . 2008-09-18 23:48 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\Malwarebytes
2008-09-18 23:48 . 2008-09-18 23:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-18 23:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-18 23:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-18 23:46 . 2008-09-16 17:42 <DIR> d-------- C:\SDFix
2008-09-18 23:41 . 2008-04-14 07:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-09-18 23:41 . 2008-09-18 23:45 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-09-18 23:38 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-09-18 23:38 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-09-18 23:38 . 2008-06-23 18:14 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-09-18 23:38 . 2008-06-23 18:14 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-09-18 23:38 . 2008-06-23 18:14 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-09-18 23:38 . 2008-06-23 18:14 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-09-18 23:38 . 2008-06-23 18:14 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-09-18 23:38 . 2008-06-23 11:20 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-09-18 23:37 . 2008-06-23 18:14 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-16 17:09 . 2008-09-16 17:09 <DIR> d-------- C:\Programme\Enigma Software Group
2008-09-16 16:46 . 2008-09-16 16:46 <DIR> d-------- C:\Programme\Windows Sidebar
2008-09-16 16:44 . 2008-09-16 17:07 <DIR> d-------- C:\Programme\Symantec
2008-09-16 16:44 . 2008-09-16 17:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-16 16:44 . 2008-09-16 17:07 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-09-16 16:44 . 2008-09-16 17:07 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-09-16 16:44 . 2008-09-16 17:07 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-09-16 16:44 . 2008-09-16 17:07 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-09-16 16:40 . 2008-09-20 16:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-16 16:39 . 2008-09-16 16:39 <DIR> d-------- C:\Programme\Norton
2008-09-16 16:37 . 2008-09-16 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\Symantec
2008-09-16 16:37 . 2008-09-18 23:30 1,049,328 ---hs---- C:\WINDOWS\system32\naxfwqrn.ini
2008-09-16 16:10 . 2008-09-16 16:14 1,043,732 ---hs---- C:\WINDOWS\system32\tusvrssj.ini
2008-09-16 15:42 . 2008-09-16 15:42 <DIR> d-------- C:\Programme\ZoneAlarmSB
2008-09-16 14:18 . 2008-09-16 14:18 1,056,733 ---hs---- C:\WINDOWS\system32\fsorbkfk.ini
2008-09-15 14:36 . 2008-09-15 14:36 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\TuneUp Software
2008-09-15 14:36 . 2008-09-15 14:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-15 14:36 . 2008-09-15 14:36 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-09-15 14:36 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-09-15 14:00 . 2008-09-15 14:00 1,107,728 ---hs---- C:\WINDOWS\system32\wumkxkcx.ini
2008-09-14 00:55 . 2008-09-14 00:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-14 00:43 . 2008-09-14 00:43 1,121,660 ---hs---- C:\WINDOWS\system32\tfngacim.ini
2008-09-13 23:11 . 2008-09-13 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\MiniDm
2008-09-13 23:10 . 2008-09-13 23:10 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\IEPro
2008-09-13 22:50 . 2008-09-16 15:12 265 --a------ C:\WINDOWS\wininit.ini
2008-09-13 22:35 . 2008-09-16 16:20 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-13 22:27 . 2008-09-16 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-13 18:39 . 2008-09-13 19:45 1,121,720 ---hs---- C:\WINDOWS\system32\iriryald.ini
2008-09-13 18:32 . 2008-09-13 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\LimeWire
2008-09-13 13:37 . 2008-09-13 13:37 <DIR> d--hs---- C:\Dokumente und Einstellungen\R4z0r\PrivacIE
2008-09-13 10:39 . 2008-04-14 07:52 81,920 --a------ C:\WINDOWS\system32\ieencode.dll
2008-09-13 10:39 . 2008-04-14 07:52 81,920 --a------ C:\WINDOWS\system32\dllcache\ieencode.dll
2008-09-09 19:11 . 2008-09-09 19:11 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-09-09 19:11 . 2008-09-09 19:11 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-09-07 22:07 . 2008-09-07 22:07 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-09-07 22:05 . 2008-09-07 22:05 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-09-07 22:05 . 2008-09-07 22:05 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-09-07 22:05 . 2008-09-07 22:05 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-09-02 19:08 . 2008-09-02 19:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-09-02 19:08 . 2008-09-03 06:24 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-09-01 20:29 . 2008-09-01 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\FileZilla
2008-08-31 18:40 . 2008-08-31 18:41 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\mIRC
2008-08-30 23:07 . 2008-08-30 23:07 <DIR> d-------- C:\CrashRpt
2008-08-30 23:07 . 2008-08-30 23:07 <DIR> d-------- C:\CrashReport
2008-08-28 14:56 . 1998-12-02 09:11 143,360 --a------ C:\WINDOWS\system32\vbuzip10.dll
2008-08-28 14:56 . 1998-07-06 02:00 36,352 --a------ C:\WINDOWS\system32\RCHTXDE.DLL
2008-08-28 14:56 . 1998-07-06 02:00 16,896 --a------ C:\WINDOWS\system32\WINSKDE.DLL
2008-08-28 14:26 . 2008-08-28 14:26 <DIR> d-------- C:\WINDOWS\eVoTemp
2008-08-28 14:23 . 2003-04-23 16:08 167,936 --a------ C:\WINDOWS\system32\PMSG.ocx
2008-08-28 14:23 . 1998-05-27 15:24 22,528 --a------ C:\WINDOWS\system32\WBCustomizer.dll
2008-08-21 22:33 . 2008-08-21 22:39 <DIR> d-------- C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\Winamp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 22:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-19 22:33 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-16 14:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-15 12:33 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\uTorrent
2008-09-05 21:53 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\teamspeak2
2008-09-01 19:53 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\ICQ
2008-08-24 00:11 136,888 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-24 00:11 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-08-21 18:41 1,221,008 ----a-w C:\WINDOWS\system32\zpeng25.dll
2008-08-15 23:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPS
2008-08-15 23:12 361,600 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-08-15 23:12 361,600 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-08-15 17:59 --------- d-----w C:\Programme\Java
2008-08-15 17:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-08-09 18:01 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\TeamViewer
2008-08-09 12:25 36,864 ----a-w C:\WINDOWS\system32\ctfmon.exe
2008-08-09 12:21 --------- d-----w C:\Programme\Windows Media Connect 2
2008-08-09 12:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-08-09 11:49 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-07 20:38 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-08-07 20:38 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\DAEMON Tools
2008-08-05 15:55 265,720 ----a-w C:\WINDOWS\system32\msdbg2.dll
2008-08-03 17:30 --------- d-----w C:\Programme\uTorrent
2008-07-30 23:35 --------- d-----w C:\Programme\Reference Assemblies
2008-07-30 23:35 --------- d-----w C:\Programme\MSBuild
2008-07-30 22:59 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-07-30 17:32 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-07-30 15:42 23,888 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-07-30 15:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-07-30 15:28 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-07-27 14:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-07-27 14:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-27 12:19 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-07-27 12:16 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\InstallShield
2008-07-27 12:11 22,328 ----a-w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\PnkBstrK.sys
2008-07-27 11:53 --------- d-----w C:\Programme\Microsoft Works
2008-07-27 11:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-27 11:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-27 11:30 --------- d-----w C:\Dokumente und Einstellungen\R4z0r\Anwendungsdaten\Everest10
2008-07-27 11:23 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-07-27 11:23 --------- d-----w C:\Programme\Realtek
2008-07-27 10:54 472,576 ----a-w C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2008-07-27 10:16 --------- d-----w C:\Programme\microsoft frontpage
2008-07-27 10:14 --------- d-----w C:\Programme\Online-Dienste
2008-07-27 10:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-16 17:14 16,806,400 ----a-w C:\WINDOWS\RTHDCPL.exe
2008-07-15 11:47 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
.

------- Sigcheck -------

2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2008-04-14 00:50 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2008-08-16 01:12 361600 d24ea301e2b36c4e975fd216ca85d8e7 C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-08-16 01:12 361600 d24ea301e2b36c4e975fd216ca85d8e7 C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-08-09 14:25 36864 18747fcb2508eeec79415b32f63f3654 C:\WINDOWS\system32\ctfmon.exe
2008-08-09 14:25 36864 18747fcb2508eeec79415b32f63f3654 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-18_23.35.15.07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2002-07-25 15:13:18 24,576 ----a-w C:\WINDOWS\Downloaded Program Files\dwusplay.dll
+ 2002-07-25 15:13:12 196,608 ----a-w C:\WINDOWS\Downloaded Program Files\dwusplay.exe
+ 2005-08-11 13:30:30 417,792 ----a-w C:\WINDOWS\Downloaded Program Files\isusweb.dll
+ 2007-03-06 01:14:13 217,312 -c----w C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\updspapi.dll
+ 2007-08-13 16:54:10 765,952 -c----w C:\WINDOWS\ie7updates\KB938127-v2-IE7\vgx.dll
+ 2007-08-13 16:39:00 123,904 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\advpack.dll
+ 2007-08-13 16:35:46 346,624 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\dxtmsft.dll
+ 2007-08-13 16:35:38 214,528 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\dxtrans.dll
+ 2007-08-13 16:54:10 131,584 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\extmgr.dll
+ 2007-08-13 16:36:26 61,952 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\icardie.dll
+ 2007-08-13 16:39:06 54,784 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ie4uinit.exe
+ 2007-08-13 16:39:26 152,064 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieakeng.dll
+ 2007-08-13 16:39:54 229,376 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieaksie.dll
+ 2007-08-13 15:56:54 161,792 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieakui.dll
+ 2007-02-12 14:10:12 2,451,312 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieapfltr.dat
+ 2007-07-11 10:27:48 383,488 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieapfltr.dll
+ 2007-08-13 16:39:50 382,976 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iedkcs32.dll
+ 2007-08-13 16:54:10 6,049,280 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieframe.dll
+ 2007-08-13 16:39:10 43,008 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iernonce.dll
+ 2007-08-13 16:34:04 266,752 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iertutil.dll
+ 2007-08-13 16:39:10 13,312 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieudinit.exe
+ 2007-08-13 16:43:56 622,080 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iexplore.exe
+ 2007-08-13 16:54:10 27,136 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\jsproxy.dll
+ 2007-08-13 16:54:10 458,752 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msfeeds.dll
+ 2007-08-13 16:54:10 50,688 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msfeedsbs.dll
+ 2007-08-13 16:54:12 3,578,368 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mshtml.dll
+ 2007-08-13 16:54:10 475,648 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mshtmled.dll
+ 2007-08-13 16:44:26 192,000 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msrating.dll
+ 2007-08-13 16:54:10 670,720 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mstime.dll
+ 2007-08-13 16:44:06 101,376 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\occache.dll
+ 2007-08-13 16:36:12 44,544 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\pngfilt.dll
+ 2007-03-06 01:14:13 217,312 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:25 377,568 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\updspapi.dll
+ 2007-08-13 16:44:30 105,984 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\url.dll
+ 2007-08-13 16:54:10 1,162,240 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\urlmon.dll
+ 2007-08-13 16:54:10 231,424 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\webcheck.dll
+ 2007-08-13 16:54:10 818,688 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll
- 2006-11-03 07:55:48 316,928 ----a-w C:\WINDOWS\inf\unregmp2.exe
+ 2007-06-29 10:02:06 318,464 ----a-w C:\WINDOWS\inf\unregmp2.exe
- 2007-08-13 16:39:00 123,904 ----a-w C:\WINDOWS\system32\advpack.dll
+ 2008-06-23 16:14:39 124,928 ----a-w C:\WINDOWS\system32\advpack.dll
- 2007-08-13 16:39:00 123,904 -c--a-w C:\WINDOWS\system32\dllcache\advpack.dll
+ 2008-06-23 16:14:39 124,928 -c--a-w C:\WINDOWS\system32\dllcache\advpack.dll
- 2007-07-30 17:19:20 92,504 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2008-07-18 20:10:48 94,920 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
- 2007-08-13 16:35:46 346,624 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2008-06-23 16:14:40 347,136 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2007-08-13 16:35:38 214,528 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2008-06-23 16:14:40 214,528 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2008-04-14 05:52:12 246,272 -c--a-w C:\WINDOWS\system32\dllcache\es.dll
+ 2008-07-07 20:26:58 253,952 -c--a-w C:\WINDOWS\system32\dllcache\es.dll
- 2007-08-13 16:54:10 131,584 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2008-06-23 16:14:40 133,120 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
- 2007-08-13 16:39:06 54,784 -c--a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
+ 2008-06-23 09:20:01 70,656 -c--a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
- 2007-08-13 16:39:26 152,064 -c--a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
+ 2008-06-23 16:14:40 153,088 -c--a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
- 2007-08-13 16:39:54 229,376 -c--a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
+ 2008-06-23 16:14:40 230,400 -c--a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
- 2007-08-13 15:56:54 161,792 -c--a-w C:\WINDOWS\system32\dllcache\ieakui.dll
+ 2008-06-21 05:23:54 161,792 -c--a-w C:\WINDOWS\system32\dllcache\ieakui.dll
- 2007-08-13 16:39:50 382,976 -c--a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
+ 2008-06-23 16:14:40 384,512 -c--a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
- 2007-08-13 16:39:10 43,008 -c--a-w C:\WINDOWS\system32\dllcache\iernonce.dll
+ 2008-06-23 16:14:41 44,544 -c--a-w C:\WINDOWS\system32\dllcache\iernonce.dll
- 2007-08-13 16:43:56 622,080 -c--a-w C:\WINDOWS\system32\dllcache\iexplore.exe
+ 2008-06-23 09:20:25 625,664 -c--a-w C:\WINDOWS\system32\dllcache\iexplore.exe
- 2008-04-14 05:52:14 691,712 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
+ 2008-04-11 19:04:24 691,712 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
- 2007-08-13 16:54:10 27,136 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2008-06-23 16:14:42 27,648 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2008-04-14 05:52:16 331,776 -c--a-w C:\WINDOWS\system32\dllcache\msadce.dll
+ 2008-05-01 14:34:52 331,776 -c--a-w C:\WINDOWS\system32\dllcache\msadce.dll
- 2008-04-14 05:52:18 73,728 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll
+ 2008-06-24 16:42:48 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll
- 2007-08-13 16:54:12 3,578,368 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2008-06-24 08:14:44 3,592,192 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
- 2007-08-13 16:54:10 475,648 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
+ 2008-06-23 16:14:44 477,696 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
- 2007-08-13 16:44:26 192,000 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
+ 2008-06-23 16:14:44 193,024 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
- 2006-10-18 19:47:16 414,208 -c--a-w C:\WINDOWS\system32\dllcache\msscp.dll
+ 2006-12-04 14:21:50 414,720 -c--a-w C:\WINDOWS\system32\dllcache\msscp.dll
- 2007-08-13 16:54:10 670,720 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
+ 2008-06-23 16:14:44 671,232 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
- 2007-08-13 16:44:06 101,376 -c--a-w C:\WINDOWS\system32\dllcache\occache.dll
+ 2008-06-23 16:14:44 102,912 -c--a-w C:\WINDOWS\system32\dllcache\occache.dll
- 2007-08-13 16:36:12 44,544 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
+ 2008-06-23 16:14:44 44,544 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
- 2006-11-03 07:55:48 316,928 -c--a-w C:\WINDOWS\system32\dllcache\unregmp2.exe
+ 2007-06-29 10:02:06 318,464 -c--a-w C:\WINDOWS\system32\dllcache\unregmp2.exe
- 2007-08-13 16:44:30 105,984 -c--a-w C:\WINDOWS\system32\dllcache\url.dll
+ 2008-06-23 16:14:44 105,984 -c--a-w C:\WINDOWS\system32\dllcache\url.dll
- 2007-08-13 16:54:10 1,162,240 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2008-06-23 16:14:44 1,159,680 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
- 2007-08-13 16:54:10 765,952 -c--a-w C:\WINDOWS\system32\dllcache\VGX.dll
+ 2008-05-27 17:23:58 765,952 -c--a-w C:\WINDOWS\system32\dllcache\vgx.dll
- 2007-08-13 16:54:10 231,424 -c--a-w C:\WINDOWS\system32\dllcache\webcheck.dll
+ 2008-06-23 16:14:44 233,472 -c--a-w C:\WINDOWS\system32\dllcache\webcheck.dll
- 2007-08-13 16:54:10 818,688 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2008-06-23 16:14:45 826,368 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
- 2006-10-18 19:47:18 222,208 -c--a-w C:\WINDOWS\system32\dllcache\WMASF.dll
+ 2007-10-25 07:28:30 222,720 -c--a-w C:\WINDOWS\system32\dllcache\wmasf.dll
- 2006-10-18 19:47:20 10,834,432 -c--a-w C:\WINDOWS\system32\dllcache\wmp.dll
+ 2007-06-11 21:51:12 10,834,944 -c--a-w C:\WINDOWS\system32\dllcache\wmp.dll
- 2007-07-30 17:19:36 549,720 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll
+ 2008-07-18 20:09:44 563,912 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll
- 2007-07-30 17:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2008-07-18 20:10:42 53,448 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
- 2007-07-30 17:19:42 1,712,984 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2008-07-18 20:09:42 1,811,656 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
- 2007-07-30 17:19:32 325,976 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll
+ 2008-07-18 20:09:46 325,832 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll
- 2007-07-30 17:18:40 33,624 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2008-07-18 20:10:20 36,552 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
- 2007-07-30 17:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
+ 2008-07-18 20:09:44 205,000 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
- 2007-08-13 16:35:46 346,624 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2008-06-23 16:14:40 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2007-08-13 16:35:38 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2008-06-23 16:14:40 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2007-08-13 16:54:10 131,584 ----a-w C:\WINDOWS\system32\extmgr.dll
+ 2008-06-23 16:14:40 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll
- 2007-08-13 16:36:26 61,952 ------w C:\WINDOWS\system32\icardie.dll
+ 2008-06-23 16:14:40 63,488 ----a-w C:\WINDOWS\system32\icardie.dll
- 2007-08-13 16:39:06 54,784 ----a-w C:\WINDOWS\system32\ie4uinit.exe
+ 2008-06-23 09:20:01 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe
- 2007-08-13 16:39:26 152,064 ----a-w C:\WINDOWS\system32\ieakeng.dll
+ 2008-06-23 16:14:40 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll
- 2007-08-13 16:39:54 229,376 ----a-w C:\WINDOWS\system32\ieaksie.dll
+ 2008-06-23 16:14:40 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll
- 2007-08-13 15:56:54 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll
+ 2008-06-21 05:23:54 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll
- 2007-02-12 14:10:12 2,451,312 ------w C:\WINDOWS\system32\ieapfltr.dat
+ 2007-04-17 09:32:38 2,455,488 ----a-w C:\WINDOWS\system32\ieapfltr.dat
- 2007-07-11 10:27:48 383,488 ------w C:\WINDOWS\system32\ieapfltr.dll
+ 2008-06-23 16:14:40 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll
- 2007-08-13 16:39:50 382,976 ----a-w C:\WINDOWS\system32\iedkcs32.dll
+ 2008-06-23 16:14:40 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll
- 2007-08-13 16:54:10 6,049,280 ------w C:\WINDOWS\system32\ieframe.dll
+ 2008-06-23 16:14:41 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll
- 2007-08-13 16:39:10 43,008 ----a-w C:\WINDOWS\system32\iernonce.dll
+ 2008-06-23 16:14:41 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll
- 2007-08-13 16:34:04 266,752 ------w C:\WINDOWS\system32\iertutil.dll
+ 2008-06-23 16:14:42 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll
- 2007-08-13 16:39:10 13,312 ----a-w C:\WINDOWS\system32\ieudinit.exe
+ 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe
- 2008-04-14 05:52:14 691,712 ----a-w C:\WINDOWS\system32\inetcomm.dll
+ 2008-04-11 19:04:24 691,712 ----a-w C:\WINDOWS\system32\inetcomm.dll
- 2007-08-13 16:54:10 27,136 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2008-06-23 16:14:42 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2008-08-26 11:28:14 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe
- 2007-08-13 16:54:10 458,752 ------w C:\WINDOWS\system32\msfeeds.dll
+ 2008-06-23 16:14:42 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll
- 2007-08-13 16:54:10 50,688 ------w C:\WINDOWS\system32\msfeedsbs.dll
+ 2008-06-23 16:14:42 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll
- 2007-08-13 16:54:12 3,578,368 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2008-06-24 08:14:44 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2007-08-13 16:54:10 475,648 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2008-06-23 16:14:44 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2007-08-13 16:44:26 192,000 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2008-06-23 16:14:44 193,024 ----a-w C:\WINDOWS\system32\msrating.dll
- 2006-10-18 19:47:16 414,208 ----a-w C:\WINDOWS\system32\msscp.dll
+ 2006-12-04 14:21:50 414,720 ----a-w C:\WINDOWS\system32\msscp.dll
- 2007-08-13 16:54:10 670,720 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2008-06-23 16:14:44 671,232 ----a-w C:\WINDOWS\system32\mstime.dll
- 2007-08-13 16:44:06 101,376 ----a-w C:\WINDOWS\system32\occache.dll
+ 2008-06-23 16:14:44 102,912 ----a-w C:\WINDOWS\system32\occache.dll
- 2007-08-13 16:36:12 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2008-06-23 16:14:44 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2008-07-18 20:10:20 36,552 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.784\wups.dll
+ 2008-07-18 20:10:40 45,768 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.784\wups2.dll
- 2008-03-27 10:40:24 60,416 ----a-w C:\WINDOWS\system32\tzchange.exe
+ 2008-07-11 12:42:28 62,976 ----a-w C:\WINDOWS\system32\tzchange.exe
- 2007-08-13 16:44:30 105,984 ----a-w C:\WINDOWS\system32\url.dll
+ 2008-06-23 16:14:44 105,984 ----a-w C:\WINDOWS\system32\url.dll
- 2007-08-13 16:54:10 1,162,240 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2008-06-23 16:14:44 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll
- 2007-08-13 16:54:10 231,424 ----a-w C:\WINDOWS\system32\webcheck.dll
+ 2008-06-23 16:14:44 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll
- 2006-10-18 19:47:18 222,208 ----a-w C:\WINDOWS\system32\WMASF.dll
+ 2007-10-25 07:28:30 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
- 2006-10-18 19:47:20 10,834,432 ----a-w C:\WINDOWS\system32\wmp.dll
+ 2007-06-11 21:51:12 10,834,944 ----a-w C:\WINDOWS\system32\wmp.dll
+ 2008-09-19 21:28:43 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_20c.dat
+ 2008-04-15 17:46:52 1,724,416 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\GdiPlus.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayExcluded]
@="{4433A54A-1AC8-432F-90FC-85F045CF383C}"
[HKEY_CLASSES_ROOT\CLSID\{4433A54A-1AC8-432F-90FC-85F045CF383C}]
2008-02-26 10:34 576352 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayPending]
@="{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}"
[HKEY_CLASSES_ROOT\CLSID\{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}]
2008-02-26 10:34 576352 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayProtected]
@="{476D0EA3-80F9-48B5-B70B-05E677C9C148}"
[HKEY_CLASSES_ROOT\CLSID\{476D0EA3-80F9-48B5-B70B-05E677C9C148}]
2008-02-26 10:34 576352 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\Backup\buShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-06-18 13533184]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-18 51048]
"osCheck"="D:\Programme\Norton\osCheck.exe" [2008-02-26 988512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-08-09 36864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=zvxhdo.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^R4z0r^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\R4z0r\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^R4z0r^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\R4z0r\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a--c--- 2008-07-24 17:02 490952 D:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EVGAPrecision]
--a--c--- 2008-08-08 19:24 236560 D:\Programme\EVGA Precision\EVGAPrecision.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2008-09-02 20:59 133104 C:\Dokumente und Einstellungen\R4z0r\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a--c--- 2006-10-27 00:47 31016 D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Krait]
--a--c--- 2007-02-16 17:44 126976 d:\Programme\Razer\Krait\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-06-18 17:46 13533184 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-06-18 17:46 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2008-08-04 01:02 36352 d:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2008-06-19 16:20 57344 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-06-18 17:46 1657376 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-07-16 19:14 16806400 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BM13c94267"=Rundll32.exe "C:\WINDOWS\system32\hqbmsbak.dll",s

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programme\\CoD IV\\iw3mp.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\uTorrent\\uTorrent.exe"=
"D:\\Programme\\Anno 1701\\Anno1701.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-02-18 149352]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 krait03;Razer krait USB Filter Driver;C:\WINDOWS\system32\Drivers\krait.sys [2005-12-07 13324]
S1 atitray;atitray;D:\Treiber\OMEGA\ATI Tray Tools\atitray.sys [ ]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]
S3 SliceDisk5;SliceDisk5;d:\Programme\A-FF Find and Mount\slicedisk.sys [ ]
S3 teamviewervpn;TeamViewer VPN Adapter;C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-15 306432]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = about:blank
R1 -: HKCU-Internet Settings,ProxyServer = 65.111.169.16:3128
R1 -: HKCU-Internet Settings,ProxyOverride = local
O8 -: Nach Microsoft E&xel exportieren - D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 18:01:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-20 18:02:39
ComboFix-quarantined-files.txt 2008-09-20 16:02:31
ComboFix2.txt 2008-09-18 21:35:53

Vor Suchlauf: 10 Verzeichnis(se), 113,855,172,608 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 113,872,470,016 Bytes frei

467 --- E O F --- 2008-09-18 21:45:41

#10 und jetzt noch den scan mit malware bytes. bitte antivir und alle sonstigen programme abschalten. um sicher zu gehen trenne einfach die verbindung zum internet nach dem update. danach verbindung widerherstellen und antivir wieder einschalten

#11 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt
Entferne auf C:\combofix

Download Avenger2 zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken “ Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\naxfwqrn.ini
C:\WINDOWS\system32\tusvrssj.ini
C:\WINDOWS\system32\fsorbkfk.ini
C:\WINDOWS\system32\wumkxkcx.ini
C:\WINDOWS\system32\tfngacim.ini
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\iriryald.ini
C:\WINDOWS\zvxhdo.dll
C:\WINDOWS\system32\zvxhdo.dll

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BM13c94267"=-

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus

#12 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Sep 20 22:21:15 2008

22:21:06: Error: Invalid syntax in command:
"[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]"
Skipping line. (Registry value replacement mode)
22:21:10: Error: Invalid syntax in command:
""BM13c94267"=-"
Skipping line. (Registry value replacement mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\naxfwqrn.ini" deleted successfully.
File "C:\WINDOWS\system32\tusvrssj.ini" deleted successfully.
File "C:\WINDOWS\system32\fsorbkfk.ini" deleted successfully.
File "C:\WINDOWS\system32\wumkxkcx.ini" deleted successfully.
File "C:\WINDOWS\system32\tfngacim.ini" deleted successfully.
File "C:\WINDOWS\wininit.ini" deleted successfully.
File "C:\WINDOWS\system32\iriryald.ini" deleted successfully.

Error: file "C:\WINDOWS\zvxhdo.dll" not found!
Deletion of file "C:\WINDOWS\zvxhdo.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\zvxhdo.dll" not found!
Deletion of file "C:\WINDOWS\system32\zvxhdo.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

#13 Versuche jetzt MBAM zu installieren und zu scannen
__________
MfG Argus

#14 Installiert is es ja schon
Ich lasse mal nen quick scan laufen

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1179
Windows 5.1.2600 Service Pack 3

20.09.2008 22:32:06
mbam-log-2008-09-20 (22-32-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44621
Laufzeit: 2 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#15 MBAM immer erst aktualisieren und dan scannen

Wie ist es jetzt,noch Probleme?
__________
MfG Argus