Habe einen Trojaner, windows trojan keylogger..... |
||
---|---|---|
#0
| ||
31.10.2008, 19:53
...neu hier
Beiträge: 6 |
||
|
||
31.10.2008, 20:10
Moderator
Beiträge: 7805 |
#2
Ueberpruefe bitte diese DAtei C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe bei Virustotal und poste den Link zum Ergebniss
Dann poste bitte ein Gmer report. Lade es von www.gmer.net herunter, entpacke und starte es. Druecke scan und wenn der Vorgang beendet ist, waehle Copy um den Report nachher hier einfuegen zu koennen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.10.2008, 20:21
...neu hier
Themenstarter Beiträge: 6 |
#3
Wow, danke für die schnelle Antwort und die Hilfe!!!!
Hier sind die Daten: http://www.virustotal.com/de/analisis/c1c6b6c04ee78635d8801287b4c656d8 GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-10-31 20:20:46 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB1201618] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB12014D4] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB12019B2] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB12010AC] <-- ROOTKIT !!! SSDT sptd.sys ZwEnumerateKey [0xF73B7FB2] <-- ROOTKIT !!! SSDT sptd.sys ZwEnumerateValueKey [0xF73B8340] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB12015AE] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB1200FEC] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB1201050] <-- ROOTKIT !!! SSDT sptd.sys ZwQueryKey [0xF73B8418] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB12016CE] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB120168E] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB120180E] <-- ROOTKIT !!! ---- Kernel code sections - GMER 1.0.14 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F62ED8AC 5 Bytes JMP 86AED1C8 ? System32\Drivers\aqkg2lhc.SYS Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe[788] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 003984A0 C:\Dokumente und Einstellungen\Paul\Application Data\Google\fwlmsk.dll ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73B2AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73B2C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73B2B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73B3748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73B361E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73C829A] sptd.sys ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\WINDOWS\system32\services.exe[828] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002 IAT C:\WINDOWS\system32\services.exe[828] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000 IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01DE73CC] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Thunderbird\thunderbird.exe[4024] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01DE7376] C:\Programme\Mozilla Thunderbird\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 86FCF1E8 AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\usbuhci \Device\USBPDO-0 86AEC1E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F661E8 Device \Driver\dmio \Device\DmControl\DmConfig 86F661E8 Device \Driver\dmio \Device\DmControl\DmPnP 86F661E8 Device \Driver\dmio \Device\DmControl\DmInfo 86F661E8 Device \Driver\usbuhci \Device\USBPDO-1 86AEC1E8 Device \Driver\usbuhci \Device\USBPDO-2 86AEC1E8 Device \Driver\usbuhci \Device\USBPDO-3 86AEC1E8 Device \Driver\usbehci \Device\USBPDO-4 86ABF1E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{2D097EF3-467F-41B1-BF72-A0963AC8B2C6} 86D06500 AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD21E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD21E8 Device \Driver\Cdrom \Device\CdRom0 86B011E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD21E8 Device \Driver\Cdrom \Device\CdRom1 86B011E8 Device \Driver\Cdrom \Device\CdRom2 86B011E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 86D06500 Device \Driver\NetBT \Device\NetbiosSmb 86D06500 Device \Driver\PCI_NTPNP2306 \Device\0000004c sptd.sys AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\NetBT \Device\NetBT_Tcpip_{ED034F7D-48C9-40ED-89FD-DAC954ABAD72} 86D06500 Device \Driver\usbuhci \Device\USBFDO-0 86AEC1E8 Device \Driver\usbuhci \Device\USBFDO-1 86AEC1E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86C5B1E8 Device \Driver\usbuhci \Device\USBFDO-2 86AEC1E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 86C5B1E8 Device \Driver\usbuhci \Device\USBFDO-3 86AEC1E8 Device \Driver\usbehci \Device\USBFDO-4 86ABF1E8 Device \Driver\Ftdisk \Device\FtControl 86FD21E8 Device \Driver\viasraid \Device\Scsi\viasraid1 86FD01E8 Device \Driver\viasraid \Device\Scsi\viasraid1Port2Path0Target2Lun0 86FD01E8 Device \Driver\viasraid \Device\Scsi\viasraid1Port2Path0Target0Lun0 86FD01E8 Device \Driver\aqkg2lhc \Device\Scsi\aqkg2lhc1Port3Path0Target0Lun0 869CF1E8 Device \Driver\aqkg2lhc \Device\Scsi\aqkg2lhc1 869CF1E8 Device \FileSystem\Cdfs \Cdfs 869B64C8 ---- Services - GMER 1.0.14 ---- Service system32\drivers\TDSSpqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x36 0xFC 0xE0 0x3A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x9D 0x4D 0x43 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6D 0x97 0xB4 0x3B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoiqh.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSosvd.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSbrsr.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSriqp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSxfum.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSlxwp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsihc.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSrhym.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSStkdu.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssproc \systemroot\system32\TDSSbubx.log Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x36 0xFC 0xE0 0x3A ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x9D 0x4D 0x43 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6D 0x97 0xB4 0x3B ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x36 0xFC 0xE0 0x3A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x9D 0x4D 0x43 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x6D 0x97 0xB4 0x3B ... Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoiqh.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSosvd.dat Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSbrsr.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSriqp.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSxfum.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSlxwp.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsihc.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSrhym.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSStkdu.log Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssproc \systemroot\system32\TDSSbubx.log ---- EOF - GMER 1.0.14 ---- |
|
|
||
01.11.2008, 08:18
Moderator
Beiträge: 7805 |
#4
Das ist ein Fall fuer Combofix:
http://board.protecus.de/t23188.htm Danach bitte gleich auch Mbam nutzen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.11.2008, 09:24
...neu hier
Themenstarter Beiträge: 6 |
#5
Danke, habe ich gemacht
hier mal das logfile. Gruß Paul ComboFix 08-10-31.02 - Paul 2008-11-01 8:40:32.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.627 [GMT 1:00] ausgeführt von:: E:\Downloads\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Paul\Cookies\bazygyqi.dl C:\Dokumente und Einstellungen\Paul\Cookies\ilexociwe._dl C:\Dokumente und Einstellungen\Paul\Cookies\liremep._dl C:\Dokumente und Einstellungen\Paul\Cookies\niguc.scr C:\Dokumente und Einstellungen\Paul\Cookies\nykobubyko.bin C:\Dokumente und Einstellungen\Paul\Cookies\onafoh.pif C:\Dokumente und Einstellungen\Paul\Cookies\poxuxyby.dll C:\Dokumente und Einstellungen\Paul\Cookies\qyderapely.reg C:\Dokumente und Einstellungen\Paul\Cookies\uqudyse.scr C:\Dokumente und Einstellungen\Paul\Cookies\yxubodof.ban C:\WINDOWS\system32\_004686_.tmp.dll C:\WINDOWS\system32\_004687_.tmp.dll C:\WINDOWS\system32\_004688_.tmp.dll C:\WINDOWS\system32\_004689_.tmp.dll C:\WINDOWS\system32\_004696_.tmp.dll C:\WINDOWS\system32\_004698_.tmp.dll C:\WINDOWS\system32\_004699_.tmp.dll C:\WINDOWS\system32\_004701_.tmp.dll C:\WINDOWS\system32\_004702_.tmp.dll C:\WINDOWS\system32\_004705_.tmp.dll C:\WINDOWS\system32\_004706_.tmp.dll C:\WINDOWS\system32\_004708_.tmp.dll C:\WINDOWS\system32\_004709_.tmp.dll C:\WINDOWS\system32\_004710_.tmp.dll C:\WINDOWS\system32\_004711_.tmp.dll C:\WINDOWS\system32\_004712_.tmp.dll C:\WINDOWS\system32\_004715_.tmp.dll C:\WINDOWS\system32\_004716_.tmp.dll C:\WINDOWS\system32\_004720_.tmp.dll C:\WINDOWS\system32\_004721_.tmp.dll C:\WINDOWS\system32\_004723_.tmp.dll C:\WINDOWS\system32\_004726_.tmp.dll C:\WINDOWS\system32\_004728_.tmp.dll C:\WINDOWS\system32\_004730_.tmp.dll C:\WINDOWS\system32\_004731_.tmp.dll C:\WINDOWS\system32\_004732_.tmp.dll C:\WINDOWS\system32\_004735_.tmp.dll C:\WINDOWS\system32\_004736_.tmp.dll C:\WINDOWS\system32\_004737_.tmp.dll C:\WINDOWS\system32\_004738_.tmp.dll C:\WINDOWS\system32\_004739_.tmp.dll C:\WINDOWS\system32\_004744_.tmp.dll C:\WINDOWS\system32\TDSSosvd.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-10-01 bis 2008-11-01 )))))))))))))))))))))))))))))) . 2008-10-31 20:14 . 2008-10-31 20:14 250 --a------ C:\WINDOWS\gmer.ini 2008-10-31 19:49 . 2008-10-31 19:49 <DIR> d-------- C:\Programme\Trend Micro 2008-10-27 19:52 . 2008-10-27 19:52 <DIR> d-------- C:\Programme\Schach 2008-10-25 08:09 . 2008-10-25 08:09 <DIR> d-------- C:\Programme\Avast4 2008-10-24 18:58 . 2008-11-01 08:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-10-24 18:58 . 2008-10-24 18:58 1,409 --a------ C:\WINDOWS\QTFont.for 2008-10-18 21:09 . 2008-10-18 21:09 <DIR> d--h----- C:\WINDOWS\PIF 2008-10-18 14:37 . 2008-10-18 14:37 <DIR> d-------- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Design Science 2008-10-18 13:54 . 2008-10-18 13:54 <DIR> d-------- C:\Programme\MathType 2008-10-18 02:27 . 2008-10-30 20:15 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Malwarebytes 2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-18 02:27 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-18 02:27 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-18 02:19 . 2008-10-18 02:19 <DIR> d-------- C:\Programme\Yahoo! 2008-10-18 02:19 . 2008-10-18 02:20 <DIR> d-------- C:\Programme\CCleaner 2008-10-18 01:54 . 2008-10-18 01:54 19,656 --a------ C:\WINDOWS\lese.inf 2008-10-18 01:54 . 2008-10-18 01:54 16,047 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\kodiky.pif 2008-10-18 01:54 . 2008-10-18 01:54 15,869 --a------ C:\WINDOWS\bejorosy.dl 2008-10-18 01:54 . 2008-10-18 01:54 14,204 --a------ C:\WINDOWS\fymugype._sy 2008-10-18 01:54 . 2008-10-18 01:54 12,905 --a------ C:\WINDOWS\system32\zahyw.bin 2008-10-18 01:54 . 2008-10-18 01:54 12,864 --a------ C:\WINDOWS\system32\hycipuq.lib 2008-10-18 01:54 . 2008-10-18 01:54 12,611 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ybuku.bin 2008-10-18 01:54 . 2008-10-18 01:54 12,606 --a------ C:\WINDOWS\xupajepudi.sys 2008-10-18 01:54 . 2008-10-18 01:54 11,654 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ixevidixo.sys 2008-10-18 01:51 . 2008-10-18 01:51 <DIR> d-------- C:\Programme\AVG 2008-10-18 01:51 . 2008-10-18 01:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8 2008-10-18 01:26 . 2008-10-18 01:26 19,148 --a------ C:\WINDOWS\system32\dixacyf.scr 2008-10-18 01:26 . 2008-10-18 01:26 17,998 --a------ C:\WINDOWS\eqopibo.lib 2008-10-18 01:26 . 2008-10-18 01:26 17,094 --a------ C:\WINDOWS\boqohyw.lib 2008-10-18 01:26 . 2008-10-18 01:26 16,711 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\owicequwuz.reg 2008-10-18 01:26 . 2008-10-18 01:26 16,601 --a------ C:\Programme\Gemeinsame Dateien\udyharyvi.dat 2008-10-18 01:26 . 2008-10-18 01:26 14,512 --a------ C:\WINDOWS\ubuhomew.reg 2008-10-18 01:26 . 2008-10-18 01:26 14,291 --a------ C:\Programme\Gemeinsame Dateien\oqosyqu.vbs 2008-10-18 01:26 . 2008-10-18 01:26 12,287 --a------ C:\WINDOWS\orox.sys 2008-10-18 01:26 . 2008-10-18 01:26 11,724 --a------ C:\WINDOWS\igodoxo.vbs 2008-10-18 01:26 . 2008-10-18 01:26 11,107 --a------ C:\WINDOWS\fuhygyb.dl 2008-10-18 00:49 . 2008-10-18 00:49 19,190 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\apazu.exe 2008-10-18 00:49 . 2008-10-18 00:49 18,601 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\reji.pif 2008-10-18 00:49 . 2008-10-18 00:49 18,471 --a------ C:\Programme\Gemeinsame Dateien\omuzof.com 2008-10-18 00:49 . 2008-10-18 00:49 18,247 --a------ C:\WINDOWS\system32\mirug.reg 2008-10-18 00:49 . 2008-10-18 00:49 17,978 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\satogoryta.sys 2008-10-18 00:49 . 2008-10-18 00:49 16,832 --a------ C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\wemyt.reg 2008-10-18 00:49 . 2008-10-18 00:49 14,277 --a------ C:\WINDOWS\system32\upyk._dl 2008-10-18 00:49 . 2008-10-18 00:49 13,876 --a------ C:\WINDOWS\xodycejo._dl 2008-10-18 00:49 . 2008-10-18 00:49 13,340 --a------ C:\WINDOWS\xisyxupumu.dl 2008-10-18 00:49 . 2008-10-18 00:49 12,565 --a------ C:\WINDOWS\eqobi.bin 2008-10-18 00:49 . 2008-10-18 00:49 12,154 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\okaz.bin 2008-10-18 00:49 . 2008-10-18 00:49 11,583 --a------ C:\WINDOWS\system32\aquhydero._sy 2008-10-18 00:49 . 2008-10-18 00:49 10,947 --a------ C:\Programme\Gemeinsame Dateien\qovotity.pif . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-01 07:31 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-10-31 22:21 --------- d-----w C:\Programme\WinTV 2008-10-31 20:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Apple Computer 2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Ahead 2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\AdobeUM 2008-10-30 19:11 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\ACD Systems 2008-10-26 09:32 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\gtk-2.0 2008-10-26 07:39 --------- d-----w C:\Programme\BitTorrent_DNA 2008-10-25 21:35 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\uTorrent 2008-10-21 21:24 --------- d-----w C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\U3 2008-10-18 00:54 15,002 ----a-w C:\Programme\Gemeinsame Dateien\favuxojy.lib 2008-10-18 00:26 16,025 ----a-w C:\Programme\Gemeinsame Dateien\rywyduqeji.inf 2008-10-06 20:20 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-28 22:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-09-28 22:10 --------- d-----w C:\Programme\Paint.NET 2008-09-08 21:00 --------- d-----w C:\Programme\GIMP-2.0 2008-09-05 11:52 --------- d-----w C:\Programme\Videodownloader 2008-02-20 20:53 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2001-03-28 10:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2005-03-02 19:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll 2007-03-08 16:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll 2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\$NtServicePackUninstall$\user32.dll 2008-04-14 03:22 580096 b0050cc5340e3a0760dd8b417ff7aebd C:\WINDOWS\ServicePackFiles\i386\user32.dll 2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\user32.dll 2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\explorer.exe 2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2008-04-14 03:22 1036800 418045a93cd87a352098ab7dabe1b53e C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2005-06-11 01:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe 2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe 2008-04-14 03:23 57856 39356a9cdb6753a6d13a4072a9f5a4bb C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe 2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2006-10-12 304640] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SoundMan"="SOUNDMAN.EXE" [2003-08-15 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Paul^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=C:\Dokumente und Einstellungen\Paul\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2005-06-23 20:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 01:38 34672 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2005-08-05 12:57 1200128 C:\Programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-06-29 05:24 286720 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2006-11-24 01:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-04-01 17:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ALG"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "H:\\eMule\\emule.exe"= "C:\\Programme\\Java\\jdk1.6.0_02\\jre\\bin\\java.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "H:\\Unreal Tournament\\Binaries\\UT3.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "E:\\ProE\\i486_nt\\nms\\nmsd.exe"= "E:\\ProE\\i486_nt\\obj\\xtop.exe"= "E:\\ProE\\i486_nt\\obj\\pro_comm_msg.exe"= "E:\\ProE\\bin\\proe.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "H:\\TmNationsForever\\TmForever.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-06-12 75904] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776] R2 WebDriveFSD;WebDrive File System Driver;C:\Programme\NetDrive\rffsd.sys [2003-10-20 67032] R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2007-01-23 207872] R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2007-01-23 299776] R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2007-01-23 498176] R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584] S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-05-02 13352] S3 zlportio;zlportio;E:\Downloaded Stuff\Spiele\Singstar\zlportio.sys [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05759aae-fff4-11dc-a9b8-000d615de161}] \Shell\AutoRun\command - I:\LaunchU3.exe -a . Inhalt des "geplante Tasks" Ordners 2008-10-24 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-TDSSpqlt.sys MSConfigStartUp-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe MSConfigStartUp-brastk - brastk.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Paul\Anwendungsdaten\Mozilla\Firefox\Profiles\va7270o7.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.tagesschau.de/ FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\Codecs\Real\browser\plugins\nppl3260.dll FF -: plugin - C:\Programme\Codecs\Real\browser\plugins\nprpjplug.dll FF -: plugin - C:\Programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-01 08:43:38 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\RFHelper.dll . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avast4\aswUpdSv.exe C:\Programme\Avast4\ashServ.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\LckFldService.exe C:\Programme\NetDrive\wdService.exe C:\Programme\Avast4\ashMaiSv.exe C:\Programme\Avast4\ashWebSv.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-01 8:47:11 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-01 07:47:07 Vor Suchlauf: 23 Verzeichnis(se), 87.346.667.520 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 87,432,056,832 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(1)partition(2)\WINDOWS [operating systems] H:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(1)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 303 --- E O F --- 2008-08-29 05:14:35 |
|
|
||
01.11.2008, 10:48
Moderator
Beiträge: 7805 |
#6
Bitte Mbam nutzen(Quickscan) Funde entfernen und den Report posten...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.11.2008, 16:15
...neu hier
Themenstarter Beiträge: 6 |
#7
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1349 Windows 5.1.2600 Service Pack 3 01.11.2008 08:28:02 mbam-log-2008-11-01 (08-28-02).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 58219 Laufzeit: 6 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asus32 (Rogue.PersonalDefender2009) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe (Rogue.PersonalDefender2009) -> Delete on reboot. |
|
|
||
01.11.2008, 16:47
Moderator
Beiträge: 7805 |
||
|
||
03.11.2008, 13:09
...neu hier
Themenstarter Beiträge: 6 |
#9
Entschuldigt, dass es so lange dauerte, aber ich war am Wochenende nicht zuhause. Hier die Daten, ist er jetzt wieder sicher???
Vielen, unglaublich großen Dank!! Gruß Paul ComboFix 08-11-02.05 - Paul 2008-11-03 13:04:42.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.625 [GMT 1:00] ausgeführt von:: e:\downloads\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2008-10-03 bis 2008-11-03 )))))))))))))))))))))))))))))) . 2008-10-31 20:14 . 2008-10-31 20:14 250 --a------ c:\windows\gmer.ini 2008-10-31 19:49 . 2008-10-31 19:49 <DIR> d-------- c:\programme\Trend Micro 2008-10-27 19:52 . 2008-10-27 19:52 <DIR> d-------- c:\programme\Schach 2008-10-25 08:09 . 2008-10-25 08:09 <DIR> d-------- c:\programme\Avast4 2008-10-18 21:09 . 2008-10-18 21:09 <DIR> d--h----- c:\windows\PIF 2008-10-18 14:37 . 2008-10-18 14:37 <DIR> d-------- c:\dokumente und einstellungen\Paul\Anwendungsdaten\Design Science 2008-10-18 13:54 . 2008-10-18 13:54 <DIR> d-------- c:\programme\MathType 2008-10-18 02:27 . 2008-10-30 20:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- c:\dokumente und einstellungen\Paul\Anwendungsdaten\Malwarebytes 2008-10-18 02:27 . 2008-10-18 02:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-18 02:27 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-18 02:27 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-10-18 02:19 . 2008-10-18 02:19 <DIR> d-------- c:\programme\Yahoo! 2008-10-18 02:19 . 2008-10-18 02:20 <DIR> d-------- c:\programme\CCleaner 2008-10-18 01:54 . 2008-10-18 01:54 19,656 --a------ c:\windows\lese.inf 2008-10-18 01:54 . 2008-10-18 01:54 16,047 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\kodiky.pif 2008-10-18 01:54 . 2008-10-18 01:54 15,869 --a------ c:\windows\bejorosy.dl 2008-10-18 01:54 . 2008-10-18 01:54 14,204 --a------ c:\windows\fymugype._sy 2008-10-18 01:54 . 2008-10-18 01:54 12,905 --a------ c:\windows\system32\zahyw.bin 2008-10-18 01:54 . 2008-10-18 01:54 12,864 --a------ c:\windows\system32\hycipuq.lib 2008-10-18 01:54 . 2008-10-18 01:54 12,611 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\ybuku.bin 2008-10-18 01:54 . 2008-10-18 01:54 12,606 --a------ c:\windows\xupajepudi.sys 2008-10-18 01:54 . 2008-10-18 01:54 11,654 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\ixevidixo.sys 2008-10-18 01:51 . 2008-10-18 01:51 <DIR> d-------- c:\programme\AVG 2008-10-18 01:51 . 2008-10-18 01:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8 2008-10-18 01:26 . 2008-10-18 01:26 19,148 --a------ c:\windows\system32\dixacyf.scr 2008-10-18 01:26 . 2008-10-18 01:26 17,998 --a------ c:\windows\eqopibo.lib 2008-10-18 01:26 . 2008-10-18 01:26 17,094 --a------ c:\windows\boqohyw.lib 2008-10-18 01:26 . 2008-10-18 01:26 16,711 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\owicequwuz.reg 2008-10-18 01:26 . 2008-10-18 01:26 16,601 --a------ c:\programme\Gemeinsame Dateien\udyharyvi.dat 2008-10-18 01:26 . 2008-10-18 01:26 14,512 --a------ c:\windows\ubuhomew.reg 2008-10-18 01:26 . 2008-10-18 01:26 14,291 --a------ c:\programme\Gemeinsame Dateien\oqosyqu.vbs 2008-10-18 01:26 . 2008-10-18 01:26 12,287 --a------ c:\windows\orox.sys 2008-10-18 01:26 . 2008-10-18 01:26 11,724 --a------ c:\windows\igodoxo.vbs 2008-10-18 01:26 . 2008-10-18 01:26 11,107 --a------ c:\windows\fuhygyb.dl 2008-10-18 00:49 . 2008-10-18 00:49 19,190 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\apazu.exe 2008-10-18 00:49 . 2008-10-18 00:49 18,601 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\reji.pif 2008-10-18 00:49 . 2008-10-18 00:49 18,471 --a------ c:\programme\Gemeinsame Dateien\omuzof.com 2008-10-18 00:49 . 2008-10-18 00:49 18,247 --a------ c:\windows\system32\mirug.reg 2008-10-18 00:49 . 2008-10-18 00:49 17,978 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\satogoryta.sys 2008-10-18 00:49 . 2008-10-18 00:49 16,832 --a------ c:\dokumente und einstellungen\Paul\Anwendungsdaten\wemyt.reg 2008-10-18 00:49 . 2008-10-18 00:49 14,277 --a------ c:\windows\system32\upyk._dl 2008-10-18 00:49 . 2008-10-18 00:49 13,876 --a------ c:\windows\xodycejo._dl 2008-10-18 00:49 . 2008-10-18 00:49 13,340 --a------ c:\windows\xisyxupumu.dl 2008-10-18 00:49 . 2008-10-18 00:49 12,565 --a------ c:\windows\eqobi.bin 2008-10-18 00:49 . 2008-10-18 00:49 12,154 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\okaz.bin 2008-10-18 00:49 . 2008-10-18 00:49 11,583 --a------ c:\windows\system32\aquhydero._sy 2008-10-18 00:49 . 2008-10-18 00:49 10,947 --a------ c:\programme\Gemeinsame Dateien\qovotity.pif . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-03 11:55 --------- d-----w c:\programme\Mozilla Thunderbird 2008-11-03 06:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-11-02 22:25 --------- d-----w c:\programme\WinTV 2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\Apple Computer 2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\Ahead 2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\AdobeUM 2008-10-30 19:11 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\ACD Systems 2008-10-26 09:32 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\gtk-2.0 2008-10-26 07:39 --------- d-----w c:\programme\BitTorrent_DNA 2008-10-25 21:35 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\uTorrent 2008-10-21 21:24 --------- d-----w c:\dokumente und einstellungen\Paul\Anwendungsdaten\U3 2008-10-18 00:54 15,002 ----a-w c:\programme\Gemeinsame Dateien\favuxojy.lib 2008-10-18 00:26 16,025 ----a-w c:\programme\Gemeinsame Dateien\rywyduqeji.inf 2008-10-06 20:20 --------- d--h--w c:\programme\InstallShield Installation Information 2008-09-28 22:16 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-09-28 22:10 --------- d-----w c:\programme\Paint.NET 2008-09-08 21:00 --------- d-----w c:\programme\GIMP-2.0 2008-09-05 11:52 --------- d-----w c:\programme\Videodownloader 2008-02-20 20:53 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2001-03-28 10:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe 2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll . ------- Sigcheck ------- 2005-03-02 19:19 578560 4c90159a69a5fd3eb39c71411f28fcff c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll 2007-03-08 16:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll 2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b c:\windows\$NtServicePackUninstall$\user32.dll 2008-04-14 03:22 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\windows\ServicePackFiles\i386\user32.dll 2007-03-08 16:36 579072 492e166cfd26a50fb9160db536ff7d2b c:\windows\system32\user32.dll 2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f c:\windows\explorer.exe 2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe 2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f c:\windows\$NtServicePackUninstall$\explorer.exe 2008-04-14 03:22 1036800 418045a93cd87a352098ab7dabe1b53e c:\windows\ServicePackFiles\i386\explorer.exe 2005-06-11 01:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe 2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\$NtServicePackUninstall$\spoolsv.exe 2008-04-14 03:23 57856 39356a9cdb6753a6d13a4072a9f5a4bb c:\windows\ServicePackFiles\i386\spoolsv.exe 2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\system32\spoolsv.exe . ((((((((((((((((((((((((((((( snapshot@2008-11-01_ 8.46.50.79 ))))))))))))))))))))))))))))))))))))))))) . + 2008-11-03 11:50:36 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_6b8.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Paul^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=c:\dokumente und einstellungen\Paul\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2005-06-23 20:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 01:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2005-08-05 12:57 1200128 c:\programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-06-29 05:24 286720 c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2006-11-24 01:06 487424 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-04-01 17:35 3587120 c:\programme\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ALG"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "h:\\eMule\\emule.exe"= "c:\\Programme\\Java\\jdk1.6.0_02\\jre\\bin\\java.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "h:\\Unreal Tournament\\Binaries\\UT3.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "e:\\ProE\\i486_nt\\nms\\nmsd.exe"= "e:\\ProE\\i486_nt\\obj\\xtop.exe"= "e:\\ProE\\i486_nt\\obj\\pro_comm_msg.exe"= "e:\\ProE\\bin\\proe.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "h:\\TmNationsForever\\TmForever.exe"= "c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2003-06-12 75904] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776] R2 WebDriveFSD;WebDrive File System Driver;c:\programme\NetDrive\rffsd.sys [2003-10-20 67032] R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2007-01-23 207872] R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2007-01-23 299776] R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2007-01-23 498176] R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-05-02 13352] S3 zlportio;zlportio;e:\downloaded stuff\Spiele\Singstar\zlportio.sys [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05759aae-fff4-11dc-a9b8-000d615de161}] \Shell\AutoRun\command - I:\LaunchU3.exe -a . Inhalt des "geplante Tasks" Ordners 2008-10-24 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Paul\Anwendungsdaten\Mozilla\Firefox\Profiles\va7270o7.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.tagesschau.de FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\programme\Codecs\Real\browser\plugins\nppl3260.dll FF -: plugin - c:\programme\Codecs\Real\browser\plugins\nprpjplug.dll FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll FF -: plugin - c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF -: plugin - c:\programme\Yahoo!\Common\npyaxmpb.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-03 13:06:24 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\system32\winlogon.exe -> c:\windows\system32\RFHelper.dll . Zeit der Fertigstellung: 2008-11-03 13:07:55 ComboFix-quarantined-files.txt 2008-11-03 12:07:52 ComboFix2.txt 2008-11-01 07:47:12 Vor Suchlauf: 23 Verzeichnis(se), 86.704.050.176 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 86,690,623,488 Bytes frei 224 --- E O F --- 2008-08-29 05:14:35 |
|
|
||
03.11.2008, 15:14
Moderator
Beiträge: 7805 |
#10
Zitat ist er jetzt wieder sicher???Leider ueberhaupt nicht. Ich wuerde hier in deinem Fall den Rechner neu aufsetzen, da die erste Infektion schon laenger als einen Monat zurueckliegt und auch einige Systemdateien betroffen zu sein scheinen. Richtig 100% bekommen wir das nicht geregelt, leider. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.11.2008, 15:48
...neu hier
Themenstarter Beiträge: 6 |
#11
Oh, großartig
Also, reicht das dann wenn ich nur die Windows-Partition formatiere und den Rest so lasse???? Oder müssen alle Festplatten neu bespielt werden?? Gruß Paul |
|
|
||
03.11.2008, 16:31
Moderator
Beiträge: 7805 |
||
|
||
wie schon oben erwähnt, habe ich einen Virus, den ich nicht loswerde. Hab mir nun jetzt Hijackthis runtergeladen und wollte es mal in eurem Forum ausprobieren meine logfile zu zeigen......Ich hoffe, dass ihr mir helfen könnt.
Gruß Paul
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:44, on 31.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [asus32] "C:\Dokumente und Einstellungen\Paul\Application Data\Google\mupd1_2_12916358.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Videodownloader\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} (ProductView Express) - file://E:\ProE\i486_nt\obj\pvx_install.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED034F7D-48C9-40ED-89FD-DAC954ABAD72}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
--
End of file - 7301 bytes