Habe einen Trojaner, windows trojan keylogger.....

#1 Hallo Leute,

wie schon oben erwähnt, habe ich einen Virus, den ich nicht loswerde. Hab mir nun jetzt Hijackthis runtergeladen und wollte es mal in eurem Forum ausprobieren meine logfile zu zeigen......Ich hoffe, dass ihr mir helfen könnt.

Gruß Paul


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:44, on 31.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [asus32] "C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Videodownloader\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} (ProductView Express) - file://E:\ProE\i486_nt\obj\pvx_install.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED034F7D-48C9-40ED-89FD-DAC954ABAD72}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe

--
End of file - 7301 bytes

#2 Ueberpruefe bitte diese DAtei C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe bei Virustotal und poste den Link zum Ergebniss

Dann poste bitte ein Gmer report. Lade es von www.gmer.net herunter, entpacke und starte es. Druecke scan und wenn der Vorgang beendet ist, waehle Copy um den Report nachher hier einfuegen zu koennen...
__________
MfG Ralf
SEO-Spam Hunter

#3 Wow, danke für die schnelle Antwort und die Hilfe!!!!

Hier sind die Daten:



http://www.virustotal.com/de/analisis/c1c6b6c04ee78635d8801287b4c656d8



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-31 20:20:46
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB1201618] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB12014D4] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB12019B2] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB12010AC] <-- ROOTKIT !!!
SSDT sptd.sys ZwEnumerateKey [0xF73B7FB2] <-- ROOTKIT !!!
SSDT sptd.sys ZwEnumerateValueKey [0xF73B8340] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB12015AE] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB1200FEC] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB1201050] <-- ROOTKIT !!!
SSDT sptd.sys ZwQueryKey [0xF73B8418] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB12016CE] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB120168E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB120180E] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F62ED8AC 5 Bytes JMP 86AED1C8
? System32\Drivers\aqkg2lhc.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe[788] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 003984A0 C:\Dokumente und Einstellungen\Paul\Application Data\Google\fwlmsk.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73B2AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73B2C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73B2B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73B3748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73B361E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73C829A] sptd.sys

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\WINDOWS\system32\services.exe[828] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[828] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86FCF1E8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBPDO-0 86AEC1E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F661E8
Device \Driver\dmio \Device\DmControl\DmConfig 86F661E8
Device \Driver\dmio \Device\DmControl\DmPnP 86F661E8
Device \Driver\dmio \Device\DmControl\DmInfo 86F661E8
Device \Driver\usbuhci \Device\USBPDO-1 86AEC1E8
Device \Driver\usbuhci \Device\USBPDO-2 86AEC1E8
Device \Driver\usbuhci \Device\USBPDO-3 86AEC1E8
Device \Driver\usbehci \Device\USBPDO-4 86ABF1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{2D097EF3-467F-41B1-BF72-A0963AC8B2C6} 86D06500

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD21E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD21E8
Device \Driver\Cdrom \Device\CdRom0 86B011E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD21E8
Device \Driver\Cdrom \Device\CdRom1 86B011E8
Device \Driver\Cdrom \Device\CdRom2 86B011E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 86D06500
Device \Driver\NetBT \Device\NetbiosSmb 86D06500
Device \Driver\PCI_NTPNP2306 \Device\0000004c sptd.sys

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\NetBT \Device\NetBT_Tcpip_{ED034F7D-48C9-40ED-89FD-DAC954ABAD72} 86D06500
Device \Driver\usbuhci \Device\USBFDO-0 86AEC1E8
Device \Driver\usbuhci \Device\USBFDO-1 86AEC1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86C5B1E8
Device \Driver\usbuhci \Device\USBFDO-2 86AEC1E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86C5B1E8
Device \Driver\usbuhci \Device\USBFDO-3 86AEC1E8
Device \Driver\usbehci \Device\USBFDO-4 86ABF1E8
Device \Driver\Ftdisk \Device\FtControl 86FD21E8
Device \Driver\viasraid \Device\Scsi\viasraid1 86FD01E8
Device \Driver\viasraid \Device\Scsi\viasraid1Port2Path0Target2Lun0 86FD01E8
Device \Driver\viasraid \Device\Scsi\viasraid1Port2Path0Target0Lun0 86FD01E8
Device \Driver\aqkg2lhc \Device\Scsi\aqkg2lhc1Port3Path0Target0Lun0 869CF1E8
Device \Driver\aqkg2lhc \Device\Scsi\aqkg2lhc1 869CF1E8
Device \FileSystem\Cdfs \Cdfs 869B64C8

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSpqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x36 0xFC 0xE0 0x3A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x9D 0x4D 0x43 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6D 0x97 0xB4 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSosvd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSbrsr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSrhym.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSStkdu.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssproc \systemroot\system32\TDSSbubx.log
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x36 0xFC 0xE0 0x3A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x9D 0x4D 0x43 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6D 0x97 0xB4 0x3B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x36 0xFC 0xE0 0x3A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x9D 0x4D 0x43 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6D 0x97 0xB4 0x3B ...
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSosvd.dat
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSbrsr.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSxfum.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSlxwp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSrhym.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSStkdu.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssproc \systemroot\system32\TDSSbubx.log

---- EOF - GMER 1.0.14 ----

#4 Das ist ein Fall fuer Combofix:

http://board.protecus.de/t23188.htm

Danach bitte gleich auch Mbam nutzen.
__________
MfG Ralf
SEO-Spam Hunter

#5 Danke, habe ich gemacht

hier mal das logfile.

Gruß Paul

ComboFix 08-10-31.02 - Paul 2008-11-01 8:40:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.627 [GMT 1:00]
ausgeführt von:: E:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Paul\Cookies\bazygyqi.dl
C:\Dokumente und Einstellungen\Paul\Cookies\ilexociwe._dl
C:\Dokumente und Einstellungen\Paul\Cookies\liremep._dl
C:\Dokumente und Einstellungen\Paul\Cookies\niguc.scr
C:\Dokumente und Einstellungen\Paul\Cookies\nykobubyko.bin
C:\Dokumente und Einstellungen\Paul\Cookies\onafoh.pif
C:\Dokumente und Einstellungen\Paul\Cookies\poxuxyby.dll
C:\Dokumente und Einstellungen\Paul\Cookies\qyderapely.reg
C:\Dokumente und Einstellungen\Paul\Cookies\uqudyse.scr
C:\Dokumente und Einstellungen\Paul\Cookies\yxubodof.ban
C:\WINDOWS\system32\_004686_.tmp.dll
C:\WINDOWS\system32\_004687_.tmp.dll
C:\WINDOWS\system32\_004688_.tmp.dll
C:\WINDOWS\system32\_004689_.tmp.dll
C:\WINDOWS\system32\_004696_.tmp.dll
C:\WINDOWS\system32\_004698_.tmp.dll
C:\WINDOWS\system32\_004699_.tmp.dll
C:\WINDOWS\system32\_004701_.tmp.dll
C:\WINDOWS\system32\_004702_.tmp.dll
C:\WINDOWS\system32\_004705_.tmp.dll
C:\WINDOWS\system32\_004706_.tmp.dll
C:\WINDOWS\system32\_004708_.tmp.dll
C:\WINDOWS\system32\_004709_.tmp.dll
C:\WINDOWS\system32\_004710_.tmp.dll
C:\WINDOWS\system32\_004711_.tmp.dll
C:\WINDOWS\system32\_004712_.tmp.dll
C:\WINDOWS\system32\_004715_.tmp.dll
C:\WINDOWS\system32\_004716_.tmp.dll
C:\WINDOWS\system32\_004720_.tmp.dll
C:\WINDOWS\system32\_004721_.tmp.dll
C:\WINDOWS\system32\_004723_.tmp.dll
C:\WINDOWS\system32\_004726_.tmp.dll
C:\WINDOWS\system32\_004728_.tmp.dll
C:\WINDOWS\system32\_004730_.tmp.dll
C:\WINDOWS\system32\_004731_.tmp.dll
C:\WINDOWS\system32\_004732_.tmp.dll
C:\WINDOWS\system32\_004735_.tmp.dll
C:\WINDOWS\system32\_004736_.tmp.dll
C:\WINDOWS\system32\_004737_.tmp.dll
C:\WINDOWS\system32\_004738_.tmp.dll
C:\WINDOWS\system32\_004739_.tmp.dll
C:\WINDOWS\system32\_004744_.tmp.dll
C:\WINDOWS\system32\TDSSosvd.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-10-01 bis 2008-11-01 ))))))))))))))))))))))))))))))
.

2008-10-31 20:14 . 2008-10-31 20:14 250 --a------ C:\WINDOWS\gmer.ini
2008-10-31 19:49 . 2008-10-31 19:49 <DIR> d-------- C:\Programme\Trend Micro
2008-10-27 19:52 . 2008-10-27 19:52 <DIR> d-------- C:\Programme\Schach
2008-10-25 08:09 . 2008-10-25 08:09 <DIR> d-------- C:\Programme\Avast4
2008-10-24 18:58 . 2008-11-01 08:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-24 18:58 . 2008-10-24 18:58 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-18 21:09 . 2008-10-18 21:09 <DIR> d--h----- C:\WINDOWS\PIF
2008-10-18 14:37 . 2008-10-18 14:37 <DIR> d-------- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Design Science
2008-10-18 13:54 . 2008-10-18 13:54 <DIR> d-------- C:\Programme\MathType
2008-10-18 02:27 . 2008-10-30 20:15 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Malwarebytes
2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-18 02:27 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-18 02:27 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-18 02:19 . 2008-10-18 02:19 <DIR> d-------- C:\Programme\Yahoo!
2008-10-18 02:19 . 2008-10-18 02:20 <DIR> d-------- C:\Programme\CCleaner
2008-10-18 01:54 . 2008-10-18 01:54 19,656 --a------ C:\WINDOWS\lese.inf
2008-10-18 01:54 . 2008-10-18 01:54 16,047 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\kodiky.pif
2008-10-18 01:54 . 2008-10-18 01:54 15,869 --a------ C:\WINDOWS\bejorosy.dl
2008-10-18 01:54 . 2008-10-18 01:54 14,204 --a------ C:\WINDOWS\fymugype._sy
2008-10-18 01:54 . 2008-10-18 01:54 12,905 --a------ C:\WINDOWS\system32\zahyw.bin
2008-10-18 01:54 . 2008-10-18 01:54 12,864 --a------ C:\WINDOWS\system32\hycipuq.lib
2008-10-18 01:54 . 2008-10-18 01:54 12,611 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ybuku.bin
2008-10-18 01:54 . 2008-10-18 01:54 12,606 --a------ C:\WINDOWS\xupajepudi.sys
2008-10-18 01:54 . 2008-10-18 01:54 11,654 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ixevidixo.sys
2008-10-18 01:51 . 2008-10-18 01:51 <DIR> d-------- C:\Programme\AVG
2008-10-18 01:51 . 2008-10-18 01:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-10-18 01:26 . 2008-10-18 01:26 19,148 --a------ C:\WINDOWS\system32\dixacyf.scr
2008-10-18 01:26 . 2008-10-18 01:26 17,998 --a------ C:\WINDOWS\eqopibo.lib
2008-10-18 01:26 . 2008-10-18 01:26 17,094 --a------ C:\WINDOWS\boqohyw.lib
2008-10-18 01:26 . 2008-10-18 01:26 16,711 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\owicequwuz.reg
2008-10-18 01:26 . 2008-10-18 01:26 16,601 --a------ C:\Programme\Gemeinsame Dateien\udyharyvi.dat
2008-10-18 01:26 . 2008-10-18 01:26 14,512 --a------ C:\WINDOWS\ubuhomew.reg
2008-10-18 01:26 . 2008-10-18 01:26 14,291 --a------ C:\Programme\Gemeinsame Dateien\oqosyqu.vbs
2008-10-18 01:26 . 2008-10-18 01:26 12,287 --a------ C:\WINDOWS\orox.sys
2008-10-18 01:26 . 2008-10-18 01:26 11,724 --a------ C:\WINDOWS\igodoxo.vbs
2008-10-18 01:26 . 2008-10-18 01:26 11,107 --a------ C:\WINDOWS\fuhygyb.dl
2008-10-18 00:49 . 2008-10-18 00:49 19,190 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\apazu.exe
2008-10-18 00:49 . 2008-10-18 00:49 18,601 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\reji.pif
2008-10-18 00:49 . 2008-10-18 00:49 18,471 --a------ C:\Programme\Gemeinsame Dateien\omuzof.com
2008-10-18 00:49 . 2008-10-18 00:49 18,247 --a------ C:\WINDOWS\system32\mirug.reg
2008-10-18 00:49 . 2008-10-18 00:49 17,978 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\satogoryta.sys
2008-10-18 00:49 . 2008-10-18 00:49 16,832 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\wemyt.reg
2008-10-18 00:49 . 2008-10-18 00:49 14,277 --a------ C:\WINDOWS\system32\upyk._dl
2008-10-18 00:49 . 2008-10-18 00:49 13,876 --a------ C:\WINDOWS\xodycejo._dl
2008-10-18 00:49 . 2008-10-18 00:49 13,340 --a------ C:\WINDOWS\xisyxupumu.dl
2008-10-18 00:49 . 2008-10-18 00:49 12,565 --a------ C:\WINDOWS\eqobi.bin
2008-10-18 00:49 . 2008-10-18 00:49 12,154 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\okaz.bin
2008-10-18 00:49 . 2008-10-18 00:49 11,583 --a------ C:\WINDOWS\system32\aquhydero._sy
2008-10-18 00:49 . 2008-10-18 00:49 10,947 --a------ C:\Programme\Gemeinsame Dateien\qovotity.pif

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-01 07:31 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-31 22:21 --------- d-----w C:\Programme\WinTV
2008-10-31 20:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Apple Computer
2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Ahead
2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\AdobeUM
2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ACD Systems
2008-10-26 09:32 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\gtk-2.0
2008-10-26 07:39 --------- d-----w C:\Programme\BitTorrent_DNA
2008-10-25 21:35 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\uTorrent
2008-10-21 21:24 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\U3
2008-10-18 00:54 15,002 ----a-w C:\Programme\Gemeinsame Dateien\favuxojy.lib
2008-10-18 00:26 16,025 ----a-w C:\Programme\Gemeinsame Dateien\rywyduqeji.inf
2008-10-06 20:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-28 22:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-28 22:10 --------- d-----w C:\Programme\Paint.NET
2008-09-08 21:00 --------- d-----w C:\Programme\GIMP-2.0
2008-09-05 11:52 --------- d-----w C:\Programme\Videodownloader
2008-02-20 20:53 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2001-03-28 10:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

------- Sigcheck -------

2005-03-02 19:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 16:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2008-04-14 03:22 580096 b0050cc5340e3a0760dd8b417ff7aebd C:\WINDOWS\ServicePackFiles\i386\user32.dll
2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\user32.dll

2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\explorer.exe
2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:22 1036800 418045a93cd87a352098ab7dabe1b53e C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2005-06-11 01:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe
2008-04-14 03:23 57856 39356a9cdb6753a6d13a4072a9f5a4bb C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\system32\spoolsv.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Paul^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 20:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-08-05 12:57 1200128 C:\Programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 01:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-04-01 17:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\eMule\\emule.exe"=
"C:\\Programme\\Java\\jdk1.6.0_02\\jre\\bin\\java.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"H:\\Unreal Tournament\\Binaries\\UT3.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\ProE\\i486_nt\\nms\\nmsd.exe"=
"E:\\ProE\\i486_nt\\obj\\xtop.exe"=
"E:\\ProE\\i486_nt\\obj\\pro_comm_msg.exe"=
"E:\\ProE\\bin\\proe.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"H:\\TmNationsForever\\TmForever.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-06-12 75904]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R2 WebDriveFSD;WebDrive File System Driver;C:\Programme\NetDrive\rffsd.sys [2003-10-20 67032]
R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2007-01-23 207872]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2007-01-23 299776]
R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2007-01-23 498176]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-05-02 13352]
S3 zlportio;zlportio;E:\Downloaded Stuff\Spiele\Singstar\zlportio.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05759aae-fff4-11dc-a9b8-000d615de161}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-10-24 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-TDSSpqlt.sys
MSConfigStartUp-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
MSConfigStartUp-brastk - brastk.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Mozilla\Firefox\Profiles\va7270o7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.tagesschau.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Codecs\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\Codecs\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-01 08:43:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RFHelper.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\NetDrive\wdService.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-01 8:47:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-01 07:47:07

Vor Suchlauf: 23 Verzeichnis(se), 87.346.667.520 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 87,432,056,832 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(2)\WINDOWS
[operating systems]
H:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

303 --- E O F --- 2008-08-29 05:14:35

#6 Bitte Mbam nutzen(Quickscan) Funde entfernen und den Report posten...
__________
MfG Ralf
SEO-Spam Hunter

#7 Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1349
Windows 5.1.2600 Service Pack 3

01.11.2008 08:28:02
mbam-log-2008-11-01 (08-28-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58219
Laufzeit: 6 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asus32 (Rogue.PersonalDefender2009) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe (Rogue.PersonalDefender2009) -> Delete on reboot.

#8 Bitte erstelle und poste einen neuen Combofix Report
__________
MfG Ralf
SEO-Spam Hunter

#9 Entschuldigt, dass es so lange dauerte, aber ich war am Wochenende nicht zuhause. Hier die Daten, ist er jetzt wieder sicher???

Vielen, unglaublich großen Dank!!

Gruß Paul

ComboFix 08-11-02.05 - Paul 2008-11-03 13:04:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.625 [GMT 1:00]
ausgeführt von:: e:\downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-03 bis 2008-11-03 ))))))))))))))))))))))))))))))
.

2008-10-31 20:14 . 2008-10-31 20:14 250 --a------ c:\windows\gmer.ini
2008-10-31 19:49 . 2008-10-31 19:49 <DIR> d-------- c:\programme\Trend Micro
2008-10-27 19:52 . 2008-10-27 19:52 <DIR> d-------- c:\programme\Schach
2008-10-25 08:09 . 2008-10-25 08:09 <DIR> d-------- c:\programme\Avast4
2008-10-18 21:09 . 2008-10-18 21:09 <DIR> d--h----- c:\windows\PIF
2008-10-18 14:37 . 2008-10-18 14:37 <DIR> d-------- c:\dokumente und einstellungen\Paul\Anwendungsdaten\Design Science
2008-10-18 13:54 . 2008-10-18 13:54 <DIR> d-------- c:\programme\MathType
2008-10-18 02:27 . 2008-10-30 20:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- c:\dokumente und einstellungen\Paul\Anwendungsdaten\Malwarebytes
2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-18 02:27 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-18 02:27 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-10-18 02:19 . 2008-10-18 02:19 <DIR> d-------- c:\programme\Yahoo!
2008-10-18 02:19 . 2008-10-18 02:20 <DIR> d-------- c:\programme\CCleaner
2008-10-18 01:54 . 2008-10-18 01:54 19,656 --a------ c:\windows\lese.inf
2008-10-18 01:54 . 2008-10-18 01:54 16,047 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\kodiky.pif
2008-10-18 01:54 . 2008-10-18 01:54 15,869 --a------ c:\windows\bejorosy.dl
2008-10-18 01:54 . 2008-10-18 01:54 14,204 --a------ c:\windows\fymugype._sy
2008-10-18 01:54 . 2008-10-18 01:54 12,905 --a------ c:\windows\system32\zahyw.bin
2008-10-18 01:54 . 2008-10-18 01:54 12,864 --a------ c:\windows\system32\hycipuq.lib
2008-10-18 01:54 . 2008-10-18 01:54 12,611 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\ybuku.bin
2008-10-18 01:54 . 2008-10-18 01:54 12,606 --a------ c:\windows\xupajepudi.sys
2008-10-18 01:54 . 2008-10-18 01:54 11,654 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\ixevidixo.sys
2008-10-18 01:51 . 2008-10-18 01:51 <DIR> d-------- c:\programme\AVG
2008-10-18 01:51 . 2008-10-18 01:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2008-10-18 01:26 . 2008-10-18 01:26 19,148 --a------ c:\windows\system32\dixacyf.scr
2008-10-18 01:26 . 2008-10-18 01:26 17,998 --a------ c:\windows\eqopibo.lib
2008-10-18 01:26 . 2008-10-18 01:26 17,094 --a------ c:\windows\boqohyw.lib
2008-10-18 01:26 . 2008-10-18 01:26 16,711 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\owicequwuz.reg
2008-10-18 01:26 . 2008-10-18 01:26 16,601 --a------ c:\programme\Gemeinsame Dateien\udyharyvi.dat
2008-10-18 01:26 . 2008-10-18 01:26 14,512 --a------ c:\windows\ubuhomew.reg
2008-10-18 01:26 . 2008-10-18 01:26 14,291 --a------ c:\programme\Gemeinsame Dateien\oqosyqu.vbs
2008-10-18 01:26 . 2008-10-18 01:26 12,287 --a------ c:\windows\orox.sys
2008-10-18 01:26 . 2008-10-18 01:26 11,724 --a------ c:\windows\igodoxo.vbs
2008-10-18 01:26 . 2008-10-18 01:26 11,107 --a------ c:\windows\fuhygyb.dl
2008-10-18 00:49 . 2008-10-18 00:49 19,190 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\apazu.exe
2008-10-18 00:49 . 2008-10-18 00:49 18,601 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\reji.pif
2008-10-18 00:49 . 2008-10-18 00:49 18,471 --a------ c:\programme\Gemeinsame Dateien\omuzof.com
2008-10-18 00:49 . 2008-10-18 00:49 18,247 --a------ c:\windows\system32\mirug.reg
2008-10-18 00:49 . 2008-10-18 00:49 17,978 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\satogoryta.sys
2008-10-18 00:49 . 2008-10-18 00:49 16,832 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\wemyt.reg
2008-10-18 00:49 . 2008-10-18 00:49 14,277 --a------ c:\windows\system32\upyk._dl
2008-10-18 00:49 . 2008-10-18 00:49 13,876 --a------ c:\windows\xodycejo._dl
2008-10-18 00:49 . 2008-10-18 00:49 13,340 --a------ c:\windows\xisyxupumu.dl
2008-10-18 00:49 . 2008-10-18 00:49 12,565 --a------ c:\windows\eqobi.bin
2008-10-18 00:49 . 2008-10-18 00:49 12,154 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\okaz.bin
2008-10-18 00:49 . 2008-10-18 00:49 11,583 --a------ c:\windows\system32\aquhydero._sy
2008-10-18 00:49 . 2008-10-18 00:49 10,947 --a------ c:\programme\Gemeinsame Dateien\qovotity.pif

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 11:55 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-03 06:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-02 22:25 --------- d-----w c:\programme\WinTV
2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\Apple Computer
2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\Ahead
2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\AdobeUM
2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\ACD Systems
2008-10-26 09:32 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\gtk-2.0
2008-10-26 07:39 --------- d-----w c:\programme\BitTorrent_DNA
2008-10-25 21:35 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\uTorrent
2008-10-21 21:24 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\U3
2008-10-18 00:54 15,002 ----a-w c:\programme\Gemeinsame Dateien\favuxojy.lib
2008-10-18 00:26 16,025 ----a-w c:\programme\Gemeinsame Dateien\rywyduqeji.inf
2008-10-06 20:20 --------- d--h--w c:\programme\InstallShield Installation Information
2008-09-28 22:16 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-09-28 22:10 --------- d-----w c:\programme\Paint.NET
2008-09-08 21:00 --------- d-----w c:\programme\GIMP-2.0
2008-09-05 11:52 --------- d-----w c:\programme\Videodownloader
2008-02-20 20:53 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2001-03-28 10:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.

------- Sigcheck -------

2005-03-02 19:19 578560 4c90159a69a5fd3eb39c71411f28fcff c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 16:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b c:\windows\$NtServicePackUninstall$\user32.dll
2008-04-14 03:22 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\windows\ServicePackFiles\i386\user32.dll
2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b c:\windows\system32\user32.dll

2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f c:\windows\explorer.exe
2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:22 1036800 418045a93cd87a352098ab7dabe1b53e c:\windows\ServicePackFiles\i386\explorer.exe

2005-06-11 01:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\$NtServicePackUninstall$\spoolsv.exe
2008-04-14 03:23 57856 39356a9cdb6753a6d13a4072a9f5a4bb c:\windows\ServicePackFiles\i386\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\system32\spoolsv.exe
.
((((((((((((((((((((((((((((( snapshot@2008-11-01_ 8.46.50.79 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-03 11:50:36 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_6b8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Paul^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Paul\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 20:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-08-05 12:57 1200128 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 01:06 487424 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-04-01 17:35 3587120 c:\programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\eMule\\emule.exe"=
"c:\\Programme\\Java\\jdk1.6.0_02\\jre\\bin\\java.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"h:\\Unreal Tournament\\Binaries\\UT3.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\ProE\\i486_nt\\nms\\nmsd.exe"=
"e:\\ProE\\i486_nt\\obj\\xtop.exe"=
"e:\\ProE\\i486_nt\\obj\\pro_comm_msg.exe"=
"e:\\ProE\\bin\\proe.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"h:\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2003-06-12 75904]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R2 WebDriveFSD;WebDrive File System Driver;c:\programme\NetDrive\rffsd.sys [2003-10-20 67032]
R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2007-01-23 207872]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2007-01-23 299776]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2007-01-23 498176]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-05-02 13352]
S3 zlportio;zlportio;e:\downloaded stuff\Spiele\Singstar\zlportio.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05759aae-fff4-11dc-a9b8-000d615de161}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Paul\Anwendungsdaten\Mozilla\Firefox\Profiles\va7270o7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.tagesschau.de
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Codecs\Real\browser\plugins\nppl3260.dll
FF -: plugin - c:\programme\Codecs\Real\browser\plugins\nprpjplug.dll
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - c:\programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 13:06:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\windows\system32\RFHelper.dll
.
Zeit der Fertigstellung: 2008-11-03 13:07:55
ComboFix-quarantined-files.txt 2008-11-03 12:07:52
ComboFix2.txt 2008-11-01 07:47:12

Vor Suchlauf: 23 Verzeichnis(se), 86.704.050.176 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 86,690,623,488 Bytes frei

224 --- E O F --- 2008-08-29 05:14:35

#10

Zitat

ist er jetzt wieder sicher???

Leider ueberhaupt nicht. Ich wuerde hier in deinem Fall den Rechner neu aufsetzen, da die erste Infektion schon laenger als einen Monat zurueckliegt und auch einige Systemdateien betroffen zu sein scheinen. Richtig 100% bekommen wir das nicht geregelt, leider.
__________
MfG Ralf
SEO-Spam Hunter

#11 Oh, großartig

Also, reicht das dann wenn ich nur die Windows-Partition formatiere und den Rest so lasse???? Oder müssen alle Festplatten neu bespielt werden??

Gruß Paul

#12 Es sollte reichen, die Systempartition zu formatieren.
__________
MfG Ralf
SEO-Spam Hunter