falsche verlinkung von google

#1 Hallo!
habe gesehen, dass ähnliche thread auch schon vorhanden sind...

habe den ersten schritt schon gemacht

avz.log:

Zitat

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 01.11.2008 11:19:35
Database loaded: signatures - 194090, NN profile(s) - 2, microprograms of healing - 56, signature database released 31.10.2008 18:55
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 74240
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=08B520)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Function NtCreateKey (29) intercepted (80577925->F75650D0), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtCreateThread (35) intercepted (80586C43->F7D741BC), hook not defined
Function NtEnumerateKey (47) intercepted (80578E1C->F756AFB2), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtEnumerateValueKey (49) intercepted (80587691->F756B340), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtFlushInstructionCache (4E) - machine code modification Method of JmpTo. jmp E19526FC
Function NtOpenKey (77) intercepted (80572BFC->F75650B0), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtOpenProcess (7A) intercepted (8058170A->F7D741A8), hook not defined
Function NtOpenThread (80) intercepted (805E1939->F7D741AD), hook not defined
Function NtQueryKey (A0) intercepted (80578A1C->F756B418), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtQueryValueKey (B1) intercepted (8057303F->F756B298), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtSaveKey (CF) - machine code modification Method of JmpTo. jmp E1957E7A
Function NtSaveKeyEx (D0) - machine code modification Method of JmpTo. jmp E1951E1A
Function NtSetValueKey (F7) intercepted (80582294->F756B4AA), hook C:\WINDOWS\system32\Drivers\sptd.sys
Function NtTerminateProcess (101) intercepted (8058E695->F7D741B7), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805885C2->F7D741B2), hook not defined
Functions checked: 284, intercepted: 12, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD11E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 86FD11E8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 28
Number of modules loaded: 327
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\Blabla\Lokale Einstellungen\Temp\~DFFA18.tmp
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "karna.dat"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 70000, extracted from archives: 47863, malicious software found 0, suspicions - 0
Scanning finished at 01.11.2008 11:27:15
Time of scanning: 00:07:41
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

dann hab ich CCleaner schon angewand.

für den 2.schritt hab ich ein problem, das mit fixwareout...ich komme immer auf dem website von megaklick

bitte hilf mir

vielen dank im voraus

#2 Hm, auf welche "Schritte" beziehst du dich denn?

Obige Malware ist was fuer Mbam und Combofix (In der Reihenfolge)

http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Danke für deinen tipp, raman!
werde es gleich probieren

ich hab mich auf diesen http://board.protecus.de/t33160.htm bezogen

#4 Danke fuer die Info. Poste bitte die Reporte, wenn du Mbam und CF laufen lassen hast...
__________
MfG Ralf
SEO-Spam Hunter

#5 vom mbam:

Zitat

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3

01.11.2008 18:19:58
mbam-log-2008-11-01 (18-19-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 86904
Laufzeit: 24 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSdanv.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSdtif.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSehkc.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSgrxw.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSmuql.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSnxca.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmumw.sys (Rootkit.Agent) -> No action taken.

#6 Aktualisiere Mbam und lasse dann alle Funde loeschen!
__________
MfG Ralf
SEO-Spam Hunter

#7 soo, jetzt aktualisiert..aber nachdem entfernen, musste ich neu start machen...aber dann ist mein rechner abgestürtzt.

werden die beiden infizierte files gelöscht?

hier ist der neueste log:

Zitat

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1352
Windows 5.1.2600 Service Pack 3

01.11.2008 19:10:31
mbam-log-2008-11-01 (19-10-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 87454
Laufzeit: 26 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\hdiavgr.sys (Rootkit.Agent) -> No action taken.

combifix:

Zitat

ComboFix 08-10-31.02 - Blabla 2008-11-01 19:21:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.707 [GMT 1:00]
ausgeführt von:: D:\download\BrastkRemover\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Blabla\Cookies\gypymumiqu.dll
C:\Dokumente und Einstellungen\Blabla\Cookies\ibico.dl
C:\Dokumente und Einstellungen\Blabla\Cookies\opapi.inf
C:\Dokumente und Einstellungen\Blabla\Cookies\sinihe.lib
C:\Dokumente und Einstellungen\Blabla\Cookies\ujudugynym.reg
C:\Dokumente und Einstellungen\hyp\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\TDSSmjkt.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-10-01 bis 2008-11-01 ))))))))))))))))))))))))))))))
.

2008-11-01 19:10 . 2008-11-01 19:10 61,440 --a------ C:\WINDOWS\system32\drivers\iuccwhw.sys
2008-11-01 16:44 . 2008-11-01 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\Malwarebytes
2008-11-01 16:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-11-01 16:43 . 2008-11-01 16:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-01 16:43 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-18 12:15 . 2008-10-18 12:15 19,126 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qufe.bin
2008-10-18 12:15 . 2008-10-18 12:15 18,216 --a------ C:\WINDOWS\system32\lypifusuxa.ban
2008-10-18 12:15 . 2008-10-18 12:15 16,071 --a------ C:\WINDOWS\ymycuboryr.dl
2008-10-18 12:15 . 2008-10-18 12:15 15,954 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\faset.dat
2008-10-18 12:15 . 2008-10-18 12:15 15,528 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qejumyro.exe
2008-10-18 12:15 . 2008-10-18 12:15 15,349 --a------ C:\Programme\Gemeinsame Dateien\feqag.exe
2008-10-18 12:15 . 2008-10-18 12:15 13,758 --a------ C:\WINDOWS\system32\qyfodyru._sy
2008-10-18 12:15 . 2008-10-18 12:15 13,710 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cupynyve.sys
2008-10-18 12:15 . 2008-10-18 12:15 11,629 --a------ C:\WINDOWS\system32\qucovoq.bin
2008-10-18 10:34 . 2008-10-18 10:34 19,044 --a------ C:\WINDOWS\yweme.pif
2008-10-18 10:34 . 2008-10-18 10:34 18,412 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\guhenufemo.bat
2008-10-18 10:34 . 2008-10-18 10:34 17,390 --a------ C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\hexydy.sys
2008-10-18 10:34 . 2008-10-18 10:34 16,918 --a------ C:\WINDOWS\ehanotevon.vbs
2008-10-18 10:34 . 2008-10-18 10:34 16,004 --a------ C:\WINDOWS\system32\yzimisaxy.dat
2008-10-18 10:34 . 2008-10-18 10:34 14,178 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lucavop.bin
2008-10-18 10:34 . 2008-10-18 10:34 14,028 --a------ C:\Programme\Gemeinsame Dateien\guvowowe.reg
2008-10-18 10:34 . 2008-10-18 10:34 11,342 --a------ C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\afar.sys
2008-10-18 10:34 . 2008-10-18 10:34 11,308 --a------ C:\WINDOWS\resatu.lib
2008-10-18 10:34 . 2008-10-18 10:34 10,997 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soryla.com
2008-10-18 10:34 . 2008-10-18 10:34 10,497 --a------ C:\WINDOWS\lipirifexy.dat
2008-10-18 10:34 . 2008-10-18 10:34 10,035 --a------ C:\WINDOWS\yderebu.bat
2008-10-03 00:22 . 2008-10-03 00:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-03 00:22 . 2008-10-03 00:22 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\MiniLyrics
2008-10-31 21:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-19 04:51 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\uTorrent
2008-10-18 11:15 14,611 ----a-w C:\Programme\Gemeinsame Dateien\ygabikyre.ban
2008-10-18 11:15 11,794 ----a-w C:\Programme\Gemeinsame Dateien\jaxahezy.dl
2008-10-18 09:34 17,756 ----a-w C:\Programme\Gemeinsame Dateien\egical._dl
2008-09-28 12:17 --------- d-----w C:\Programme\ICQ6
2008-09-14 06:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccountManager
2008-09-14 04:41 --------- d-----w C:\Programme\Reference Assemblies
2008-09-14 04:41 --------- d-----w C:\Programme\MSBuild
2008-09-12 16:25 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\mIRC
2008-09-02 02:29 --------- d-----w C:\Programme\Image Grabber II
2008-02-17 00:46 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"VoipDiscount"="D:\Progs\VoipDiscount\VoipDiscount.exe" [2007-05-31 7419456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 94208]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-30 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-12 7323648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-12 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2008-01-31 07:39 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiSpyWare2Guard]
--a------ 2007-07-18 02:35 2327040 D:\Progs\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-05-13 19:41 89024 D:\Progs\anydvd\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
--a------ 2007-09-06 14:08 136136 D:\Progs\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 22:12 49152 D:\Progs\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2006-11-02 07:55 1397760 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LGODDFU]
--a------ 2005-04-12 09:11 229376 D:\Progs\powerdvd\fwupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 03:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nitro PDF Printer Monitor]
--a------ 2008-02-01 15:38 210208 D:\Progs\PDF_convert\NitroPDFPrinterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-04-26 07:29 237568 D:\Progs\nokia93\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 D:\Progs\Qt_pro\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 D:\Progs\powerdvd\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-04-01 17:35 3587120 D:\Programme\veohTV\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2007-05-31 15:22 7419456 D:\Progs\VoipDiscount\VoipDiscount.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-14 23:22 35328 D:\Progs\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2004-08-11 05:44 1228800 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-04-12 03:37 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"SharedAccess"=2 (0x2)
"wuauserv"=2 (0x2)
"UxTuneUp"=2 (0x2)
"TapiSrv"=3 (0x3)
"LightScribeService"=2 (0x2)
"FLEXlm server for PTC"=2 (0x2)
"bepldr"=3 (0x3)
"AASW2_Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Progs\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S4 AASW2_Service;Ashampoo AntiSpyWare 2 Service;D:\Progs\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe [2007-07-18 728920]
S4 bepldr;BCL easyPDF SDK 5 Loader;C:\Programme\Gemeinsame Dateien\BCL Technologies\NitroPDF5\bepldr.exe [2007-11-15 151552]
S4 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Progs\tuneuo2007\SystemOptimizer.exe [2006-11-23 15:46]

2008-10-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
SafeBoot-TDSSmumw.sys
MSConfigStartUp-Adobe Reader Speed Launcher - D:\Progs\Adobe8.0\Reader\Reader_sl.exe
MSConfigStartUp-DAEMON Tools - D:\Progs\DAEMON Tools\daemon.exe
MSConfigStartUp-PDFPrint - D:\Programme\pdf24\PDF24Updater.exe
MSConfigStartUp-XP Antispyware 2009 - C:\Programme\XP_Antispyware\XP_AntiSpyware.exe
MSConfigStartUp-brastk - brastk.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\Mozilla\Firefox\Profiles\agxv4f4d.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-01 19:25:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-01 19:28:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-01 18:28:37

Vor Suchlauf: 11 Verzeichnis(se), 16.392.433.664 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 16,313,524,224 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

224 --- E O F --- 2008-09-15 01:02:49

#8 Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

http://board.protecus.de/t35265.htm

collect::
C:\WINDOWS\system32\drivers\hdiavgr.sys
C:\WINDOWS\system32\drivers\iuccwhw.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qufe.bin
C:\WINDOWS\system32\lypifusuxa.ban
C:\WINDOWS\ymycuboryr.dl
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\faset.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qejumyro.exe
C:\Programme\Gemeinsame Dateien\feqag.exe
C:\WINDOWS\system32\qyfodyru._sy
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cupynyve.sys
C:\WINDOWS\system32\qucovoq.bin
C:\WINDOWS\yweme.pif
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\guhenufemo.bat
C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\hexydy.sys
C:\WINDOWS\ehanotevon.vbs
C:\WINDOWS\system32\yzimisaxy.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lucavop.bin
C:\Programme\Gemeinsame Dateien\guvowowe.reg
C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\afar.sys
C:\WINDOWS\resatu.lib
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soryla.com
C:\WINDOWS\lipirifexy.dat
C:\WINDOWS\yderebu.bat
C:\Programme\Gemeinsame Dateien\ygabikyre.ban
c:\Programme\Gemeinsame Dateien\jaxahezy.dl
C:\Programme\Gemeinsame Dateien\egical._dl
C:\WINDOWS\system32\Smab0.dll

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter

#9 combofix.txt: (zu 6.)

Zitat

ComboFix 08-10-31.02 - Blabla 2008-11-01 20:18:52.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.696 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Blabla\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Blabla\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cupynyve.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\faset.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\guhenufemo.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lucavop.bin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qejumyro.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qufe.bin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soryla.com
C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\afar.sys
C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\hexydy.sys
C:\Programme\Gemeinsame Dateien\egical._dl
C:\Programme\Gemeinsame Dateien\feqag.exe
C:\Programme\Gemeinsame Dateien\guvowowe.reg
c:\Programme\Gemeinsame Dateien\jaxahezy.dl
C:\Programme\Gemeinsame Dateien\ygabikyre.ban
C:\WINDOWS\ehanotevon.vbs
C:\WINDOWS\lipirifexy.dat
C:\WINDOWS\resatu.lib
C:\WINDOWS\system32\lypifusuxa.ban
C:\WINDOWS\system32\qucovoq.bin
C:\WINDOWS\system32\qyfodyru._sy
C:\WINDOWS\system32\Smab0.dll
C:\WINDOWS\system32\yzimisaxy.dat
C:\WINDOWS\yderebu.bat
C:\WINDOWS\ymycuboryr.dl
C:\WINDOWS\yweme.pif

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-01 bis 2008-11-01 ))))))))))))))))))))))))))))))
.

2008-11-01 20:10 . 2008-11-01 20:10 61,440 --a------ C:\WINDOWS\system32\drivers\htdw.sys
2008-11-01 16:44 . 2008-11-01 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\Malwarebytes
2008-11-01 16:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-11-01 16:43 . 2008-11-01 16:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-01 16:43 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-03 00:22 . 2008-10-03 00:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-03 00:22 . 2008-10-03 00:22 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\MiniLyrics
2008-10-31 21:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-19 04:51 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\uTorrent
2008-09-28 12:17 --------- d-----w C:\Programme\ICQ6
2008-09-14 06:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccountManager
2008-09-14 04:41 --------- d-----w C:\Programme\Reference Assemblies
2008-09-14 04:41 --------- d-----w C:\Programme\MSBuild
2008-09-12 16:25 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\mIRC
2008-09-02 02:29 --------- d-----w C:\Programme\Image Grabber II
2008-02-17 00:46 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-01_19.28.14.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-31 20:28:05 91,124 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-11-01 18:28:17 91,124 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-10-31 20:28:05 76,836 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-11-01 18:28:17 76,836 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-10-31 20:28:05 482,284 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-11-01 18:28:17 482,284 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-10-31 20:28:05 460,386 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-11-01 18:28:17 460,386 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"VoipDiscount"="D:\Progs\VoipDiscount\VoipDiscount.exe" [2007-05-31 7419456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 94208]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-30 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-12 7323648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-12 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2008-01-31 07:39 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiSpyWare2Guard]
--a------ 2007-07-18 02:35 2327040 D:\Progs\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-05-13 19:41 89024 D:\Progs\anydvd\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
--a------ 2007-09-06 14:08 136136 D:\Progs\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 22:12 49152 D:\Progs\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2006-11-02 07:55 1397760 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LGODDFU]
--a------ 2005-04-12 09:11 229376 D:\Progs\powerdvd\fwupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 03:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nitro PDF Printer Monitor]
--a------ 2008-02-01 15:38 210208 D:\Progs\PDF_convert\NitroPDFPrinterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-04-26 07:29 237568 D:\Progs\nokia93\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 D:\Progs\Qt_pro\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 D:\Progs\powerdvd\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-04-01 17:35 3587120 D:\Programme\veohTV\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2007-05-31 15:22 7419456 D:\Progs\VoipDiscount\VoipDiscount.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-14 23:22 35328 D:\Progs\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2004-08-11 05:44 1228800 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-04-12 03:37 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"SharedAccess"=2 (0x2)
"wuauserv"=2 (0x2)
"UxTuneUp"=2 (0x2)
"TapiSrv"=3 (0x3)
"LightScribeService"=2 (0x2)
"FLEXlm server for PTC"=2 (0x2)
"bepldr"=3 (0x3)
"AASW2_Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Progs\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S4 AASW2_Service;Ashampoo AntiSpyWare 2 Service;D:\Progs\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe [2007-07-18 728920]
S4 bepldr;BCL easyPDF SDK 5 Loader;C:\Programme\Gemeinsame Dateien\BCL Technologies\NitroPDF5\bepldr.exe [2007-11-15 151552]
S4 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Progs\tuneuo2007\SystemOptimizer.exe [2006-11-23 15:46]

2008-10-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-01 20:19:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-01 20:20:56
ComboFix-quarantined-files.txt 2008-11-01 19:20:44
ComboFix2.txt 2008-11-01 18:28:42

Vor Suchlauf: 11 Verzeichnis(se), 16.298.541.056 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 16,283,967,488 Bytes frei

195 --- E O F --- 2008-09-15 01:02:49

und dann kommt:

Zitat

Your file was successfully submitted. Please let the user helping you know that you have submitted the file

#10 Erst einmal danke fuers einsenden.

Das ist ja sowas von Geil...

Du hast im C:\WINDOWS\system32\drivers Ordner eine Datei, die immer 61,440 Bytes gross ist und die Dateiendung sys besitzt. Es wird die Datei mit dem neusten Datum sein. Den genauen Namen kann ich dir nicht sagen, da er immer neu generiert wird. Teste die Datei bittte bei Virustotal und poste den Link zum Ergebniss....
__________
MfG Ralf
SEO-Spam Hunter

#11 hmm, stimmt was nicht??^^

Zitat

Datei htdw.sys empfangen 2008.11.01 21:22:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 9/36 (25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.1.0 2008.11.01 Win-Trojan/Avenger.61440
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.11.01 -
Avast 4.8.1248.0 2008.11.01 -
AVG 8.0.0.161 2008.11.01 -
BitDefender 7.2 2008.11.01 -
CAT-QuickHeal 9.50 2008.11.01 Hoax.Agent.fz (Not a Virus)
ClamAV 0.94.1 2008.11.01 -
DrWeb 4.44.0.09170 2008.11.01 -
eSafe 7.0.17.0 2008.10.30 Hoax.Win32.Agent.fu
eTrust-Vet 31.6.6185 2008.11.01 -
Ewido 4.0 2008.11.01 -
F-Prot 4.4.4.56 2008.11.01 -
F-Secure 8.0.14332.0 2008.11.01 -
Fortinet 3.117.0.0 2008.10.31 PossibleThreat
GData 19 2008.11.01 -
Ikarus T3.1.1.44.0 2008.11.01 -
K7AntiVirus 7.10.514 2008.11.01 Trojan.Win32.Malware.2
Kaspersky 7.0.0.125 2008.11.01 -
McAfee 5420 2008.11.01 -
Microsoft 1.4005 2008.11.01 -
NOD32 3575 2008.10.31 -
Norman 5.80.02 2008.10.31 W32/Agent.HHSF
Panda 9.0.0.4 2008.11.01 Trj/Downloader.MDW
PCTools 4.4.2.0 2008.11.01 -
Prevx1 V2 2008.11.01 Malicious Software
Rising 21.01.52.00 2008.11.01 -
SecureWeb-Gateway 6.7.6 2008.11.01 -
Sophos 4.35.0 2008.11.01 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.11.01 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.11.01 -
ViRobot 2008.10.31.1446 2008.10.31 Hoax..Agent.61440
VirusBuster 4.5.11.0 2008.10.31 -
weitere Informationen
File size: 61440 bytes
MD5...: 589312a3b46721c5a751e4d5222a89be
SHA1..: 3a497d3968a4f6e3c648d196da38e5f98e75ec30
SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae
SHA512: c8abe050c97efe34541c3ef293a750e34b82117ae41f41d83db1f1489eb5d776
a1d59d0b4a1e13536e5bebda630693daf4be66cc386f587a69288c76df98cf7b
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d394
timedatestamp.....: 0x476b398b (Fri Dec 21 03:56:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xd756 0xd780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xdb80 0x10e 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xdd00 0xc0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xde00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xe180 0xe2c 0xe80 6.60 4f845320301140370066cbceee4c5e4c

( 1 imports )
> ntoskrnl.exe: ZwWriteFile, wcslen, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, wcscat, wcscpy, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePoolWithTag, RtlPrefixUnicodeString, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwOpenFile, ZwSetInformationFile, KeTickCount, ZwQueryInformationFile, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be

#12 Versuchen wir es mal mit gmer.
Lade es von www.gmer.net, schliesse alle unnoetigen Programme, entpacke und starte es. Gehe auf den Reiter files, gehe in den Ordner drivers, waehle die "boese"sys aus und druecke dort kill.
Jetzt gehe auf den Reiter Processes, waehle restart.

Schaue, ob die sys neu erstellt wurde.
__________
MfG Ralf
SEO-Spam Hunter

#13 Guten Morgen Raman,

soo, nach dem kill, hatte ich die meldung: xxx.sys ist succesfully killed...aber nach dem neu start: ist das file noch existiert

achh, vorhin hat mein antivir dieses file als trojaner erkannt..und dieses wurde gelöscht
nachdem neu start war das file nicht mehr da

ist das prob jetzt behoben?

#14 Also, das Antivir die Datei nun als Trojaner meldet liegt an der "killmethode" von Gmer. Es ist so nicht mehr lauffaehig und Antivir meldet es folgerichtig als damaged.gen.

Erstelle bitte zur letzten Kontrolle ein neues CF Log mit einer frisch heruntergeladenen CF Version.

ERstelle mit Gmer auch bitte einen Report, indem du im reiter Rootkit auf scan drueckst. Wenn der scan beendet ist, waehle copy und kopiere den Bericht ueber past hier ein.
__________
MfG Ralf
SEO-Spam Hunter

#15 CF log:

Zitat

ComboFix 08-11-01.04 - Blabla 2008-11-02 10:40:26.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.706 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Blabla\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-02 bis 2008-11-02 ))))))))))))))))))))))))))))))
.

2008-11-02 09:52 . 2008-11-02 09:52 250 --a------ C:\WINDOWS\gmer.ini
2008-11-02 01:52 . 2008-11-02 01:54 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-11-01 19:28 . 2008-08-14 14:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-11-01 19:28 . 2008-08-14 14:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-11-01 19:28 . 2008-08-14 14:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-11-01 19:28 . 2008-08-14 14:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-11-01 19:28 . 2008-09-15 16:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-11-01 19:28 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-11-01 19:28 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-11-01 16:44 . 2008-11-01 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\Malwarebytes
2008-11-01 16:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-11-01 16:43 . 2008-11-01 16:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-01 16:43 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-03 00:22 . 2008-10-03 00:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-03 00:22 . 2008-10-03 00:22 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-01 20:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\MiniLyrics
2008-10-19 04:51 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\uTorrent
2008-09-28 12:17 --------- d-----w C:\Programme\ICQ6
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-14 06:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccountManager
2008-09-14 04:41 --------- d-----w C:\Programme\Reference Assemblies
2008-09-14 04:41 --------- d-----w C:\Programme\MSBuild
2008-09-12 16:25 --------- d-----w C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\mIRC
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-02 02:29 --------- d-----w C:\Programme\Image Grabber II
2008-08-20 05:08 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-02-17 00:46 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-01_19.28.14.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-20 05:06:50 3,088,896 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\mshtml.dll
+ 2008-08-20 05:06:46 1,499,136 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\shdocvw.dll
+ 2008-08-20 05:06:47 621,056 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\urlmon.dll
+ 2008-08-20 05:06:47 672,256 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\wininet.dll
+ 2007-11-30 11:18:34 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB956390\spmsg.dll
+ 2007-11-30 11:18:34 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB956390\spuninst.exe
+ 2007-11-30 11:18:34 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB956390\update\spcustom.dll
+ 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB956390\update\update.exe
+ 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB956390\update\updspapi.dll
+ 2008-08-14 13:19:42 2,147,840 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2008-08-14 13:19:48 2,068,352 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2008-08-14 13:19:43 2,026,496 ------w C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2008-08-14 13:19:48 2,191,488 ------w C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2008-11-02 08:52:15 884,736 ----a-w C:\WINDOWS\gmer.dll
+ 2008-04-17 20:13:02 811,008 ----a-w C:\WINDOWS\gmer.exe
- 2008-06-20 11:40:08 138,496 -c----w C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-08-14 10:04:36 138,496 -c----w C:\WINDOWS\system32\dllcache\afd.sys
- 2008-06-23 15:10:11 3,088,384 -c----w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2008-08-20 05:08:58 3,088,896 -c----w C:\WINDOWS\system32\dllcache\mshtml.dll
- 2008-06-26 08:12:40 1,499,136 -c----w C:\WINDOWS\system32\dllcache\shdocvw.dll
+ 2008-08-20 05:08:54 1,499,136 -c----w C:\WINDOWS\system32\dllcache\shdocvw.dll
- 2008-06-26 08:12:40 620,544 -c----w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2008-08-20 05:08:55 620,544 -c----w C:\WINDOWS\system32\dllcache\urlmon.dll
- 2007-04-10 13:04:14 236,928 -c----w C:\WINDOWS\system32\dllcache\WgaLogon.dll
+ 2008-09-05 22:31:06 267,304 -c----w C:\WINDOWS\system32\dllcache\wgaLogon.dll
- 2007-04-10 13:01:46 337,280 -c----w C:\WINDOWS\system32\dllcache\WgaTray.exe
+ 2008-09-05 22:30:04 952,360 -c----w C:\WINDOWS\system32\dllcache\WgaTray.exe
- 2008-06-23 15:10:12 671,744 -c----w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2008-08-20 05:08:55 671,744 -c----w C:\WINDOWS\system32\dllcache\wininet.dll
- 2008-06-20 11:40:08 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
+ 2008-08-14 10:04:36 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
+ 2008-11-02 08:52:15 85,969 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
- 2008-09-14 05:53:05 208,104 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-11-02 02:06:09 208,104 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-08-26 11:28:14 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-10-07 19:19:40 16,721,856 ----a-w C:\WINDOWS\system32\MRT.exe
- 2008-06-23 15:10:11 3,088,384 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2008-08-20 05:08:58 3,088,896 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2008-04-14 02:22:19 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll
+ 2008-10-15 16:35:02 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll
- 2008-10-31 20:28:05 91,124 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-11-01 18:28:17 91,124 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-10-31 20:28:05 76,836 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-11-01 18:28:17 76,836 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-10-31 20:28:05 482,284 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-11-01 18:28:17 482,284 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-10-31 20:28:05 460,386 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-11-01 18:28:17 460,386 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-26 08:12:40 1,499,136 ----a-w C:\WINDOWS\system32\shdocvw.dll
+ 2008-08-20 05:08:54 1,499,136 ----a-w C:\WINDOWS\system32\shdocvw.dll
- 2007-11-30 12:39:14 18,808 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll
- 2008-06-26 08:12:40 620,544 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2008-08-20 05:08:55 620,544 ----a-w C:\WINDOWS\system32\urlmon.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"VoipDiscount"="D:\Progs\VoipDiscount\VoipDiscount.exe" [2007-05-31 7419456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 94208]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-30 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-12 7323648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-12 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2008-01-31 07:39 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiSpyWare2Guard]
--a------ 2007-07-18 02:35 2327040 D:\Progs\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-05-13 19:41 89024 D:\Progs\anydvd\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
--a------ 2007-09-06 14:08 136136 D:\Progs\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 22:12 49152 D:\Progs\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2006-11-02 07:55 1397760 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LGODDFU]
--a------ 2005-04-12 09:11 229376 D:\Progs\powerdvd\fwupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 03:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nitro PDF Printer Monitor]
--a------ 2008-02-01 15:38 210208 D:\Progs\PDF_convert\NitroPDFPrinterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-04-26 07:29 237568 D:\Progs\nokia93\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 D:\Progs\Qt_pro\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 D:\Progs\powerdvd\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-04-01 17:35 3587120 D:\Programme\veohTV\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2007-05-31 15:22 7419456 D:\Progs\VoipDiscount\VoipDiscount.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-14 23:22 35328 D:\Progs\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2004-08-11 05:44 1228800 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-04-12 03:37 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"SharedAccess"=2 (0x2)
"wuauserv"=2 (0x2)
"UxTuneUp"=2 (0x2)
"TapiSrv"=3 (0x3)
"LightScribeService"=2 (0x2)
"FLEXlm server for PTC"=2 (0x2)
"bepldr"=3 (0x3)
"AASW2_Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Progs\\VoipDiscount\\VoipDiscount.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S4 AASW2_Service;Ashampoo AntiSpyWare 2 Service;D:\Progs\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe [2007-07-18 728920]
S4 bepldr;BCL easyPDF SDK 5 Loader;C:\Programme\Gemeinsame Dateien\BCL Technologies\NitroPDF5\bepldr.exe [2007-11-15 151552]
S4 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Progs\tuneuo2007\SystemOptimizer.exe [2006-11-23 15:46]

2008-10-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Blabla\Anwendungsdaten\Mozilla\Firefox\Profiles\agxv4f4d.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-02 10:41:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-02 10:42:40
ComboFix-quarantined-files.txt 2008-11-02 09:42:32
ComboFix2.txt 2008-11-01 19:20:57
ComboFix3.txt 2008-11-01 18:28:42

Vor Suchlauf: 11 Verzeichnis(se), 16.355.745.792 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 16,397,139,968 Bytes frei

232 --- E O F --- 2008-11-02 00:54:12

Gmer log:

Zitat

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-02 13:05:17
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwCreateKey [0xF75650D0]
SSDT F7D65744 ZwCreateThread
SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwEnumerateKey [0xF756AFB2]
SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwEnumerateValueKey [0xF756B340]
SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwOpenKey [0xF75650B0]
SSDT F7D65730 ZwOpenProcess
SSDT F7D65735 ZwOpenThread
SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwQueryKey [0xF756B418]
SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwQueryValueKey [0xF756B298]
SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwSetValueKey [0xF756B4AA]
SSDT F7D6573F ZwTerminateProcess
SSDT F7D6573A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? System32\Drivers\abo6rfia.SYS Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F66B58AC 5 Bytes JMP 86C5F770
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F757C06C] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F757C018] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F759E9AE] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F757C06C] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7565AD4] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7565C1A] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7565B9C] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7566748] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F756661E] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F757B29A] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86FD01E8
Device \FileSystem\Fastfat \FatCdrom 86C9A1E8
Device \Driver\PCI_NTPNP5902 \Device\00000043 sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
Device \Driver\usbuhci \Device\USBPDO-0 86CA21E8
Device \Driver\PCI_NTPNP5902 \Device\00000044 sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F621E8
Device \Driver\dmio \Device\DmControl\DmConfig 86F621E8
Device \Driver\dmio \Device\DmControl\DmPnP 86F621E8
Device \Driver\dmio \Device\DmControl\DmInfo 86F621E8
Device \Driver\usbuhci \Device\USBPDO-1 86CA21E8
Device \Driver\usbuhci \Device\USBPDO-2 86CA21E8
Device \Driver\usbuhci \Device\USBPDO-3 86CA21E8
Device \Driver\usbehci \Device\USBPDO-4 86CA1370
Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD21E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD21E8
Device \Driver\Cdrom \Device\CdRom0 86D1E1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD21E8
Device \Driver\Cdrom \Device\CdRom1 86D1E1E8
Device \Driver\Cdrom \Device\CdRom2 86D1E1E8
Device \Driver\Cdrom \Device\CdRom3 86D1E1E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 86B851E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{02804DCE-714D-42EA-A519-BD41DE15015D} 86B851E8
Device \Driver\NetBT \Device\NetbiosSmb 86B851E8
Device \Driver\usbuhci \Device\USBFDO-0 86CA21E8
Device \Driver\usbuhci \Device\USBFDO-1 86CA21E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86B97790
Device \Driver\usbuhci \Device\USBFDO-2 86CA21E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86B97790
Device \Driver\usbuhci \Device\USBFDO-3 86CA21E8
Device \Driver\usbehci \Device\USBFDO-4 86CA1370
Device \Driver\Ftdisk \Device\FtControl 86FD21E8
Device \Driver\abo6rfia \Device\Scsi\abo6rfia1 86CE95F8
Device \Driver\abo6rfia \Device\Scsi\abo6rfia1Port4Path0Target1Lun0 86CE95F8
Device \Driver\abo6rfia \Device\Scsi\abo6rfia1Port4Path0Target0Lun0 86CE95F8
Device \FileSystem\Fastfat \Fat 86C9A1E8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86C33790

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Progs\DAEMON Tools Pro\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x21 0xE1 0x86 0xDF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xBD 0xDF 0x2C 0x9D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x96 0xD2 0xE4 0x1D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x10 0x4B 0xF7 0xD0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x89 0xEA 0x86 0x51 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0x53 0x39 0xF4 0x64 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x73 0x4D 0x99 0xA4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Progs\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x21 0xE1 0x86 0xDF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xBD 0xDF 0x2C 0x9D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2B 0x46 0xC8 0xD9 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0xB1 0x90 0x57 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x89 0xEA 0x86 0x51 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0x53 0x39 0xF4 0x64 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x73 0x4D 0x99 0xA4 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Progs\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x21 0xE1 0x86 0xDF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xBD 0xDF 0x2C 0x9D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x96 0xD2 0xE4 0x1D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x10 0x4B 0xF7 0xD0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x89 0xEA 0x86 0x51 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0x53 0x39 0xF4 0x64 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x73 0x4D 0x99 0xA4 ...

---- EOF - GMER 1.0.14 ----