Home » Viren, Trojaner & Malware Forum » W32/Sality-I - möglicherweise weitere Schädlinge - ComboFix? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

W32/Sality-I - möglicherweise weitere Schädlinge - ComboFix?

02.11.2008, 21:53

Apfelbowm

...neu hier

Beiträge: 7

#1 Hallo, habe schon verschiedenes ausprobiert (zum Schluss Avira AntiVir, verkomplizierte jetzt aber nur das weiter Arbeiten (Quarantäne,etc.))

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 21:52:48, on 02.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Spybot - Search & Destroy\SpybotSDx.exe
C:\Programme\Spybot - Search & Destroy\SpybotSDxsdx.exe
G:\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Zeitschaltuhr Service (PCZeitschaltuhrService) - Unknown owner - C:\Programme\DATA BECKER\PC Zeitschaltuhr\PCZeitschaltuhrService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Protocol HTTP/HTTPS (ProtocolWindows ) - Unknown owner - C:\WINDOWS\system32\nvidia.imapise.exe (file missing)
O23 - Service: Windows Media Connect (WMC) (WmcCds) - Unknown owner - c:\programme\windows media connect\mswmccds.exe (file missing)
O23 - Service: Windows Media Connect-Hilfsprogramm (WmcCdsLs) - Unknown owner - C:\Programme\Windows Media Connect\mswmcls.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Zitat
Hijackthis Uninstall list
AC3Filter (remove only)
Acronis True Image Home
Adobe Flash Player Plugin
Adobe Reader 7.0 - Deutsch
Apple Mobile Device Support
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
AxCrypt (Nur Entfernen)
BlueSoleil
Bonjour
CCleaner (remove only)
CDex extraction audio
CIB pdf-Plugin für Microsoft WORD©
CleanUp!
C-Media High Definition Audio Driver
CnuddelzBot 1.3.2
Color Cop v5.3
Creatix V.92 Data Fax Modem
DATA BECKER PC Zeitschaltuhr
dBpoweramp m4a Codec
dBpowerAMP Music Converter
dBpowerAMP WMA V9 Codec
DivX Player
DivX Pro
EA SPORTS online 2004
EA.com Matchup
EA.com Update
EAX Unified
FeedDemon
FeedStation
FIFA 2002
FlashFXP v3
FLV Player 1.3.3
Free PDF to Word Doc Converter v1.1
Freez FLV to MP3 Converter
Generic USB CardReader 2.0
Google Earth
Google Toolbar for Internet Explorer
Google Updater
GSpot Codec Information Appliance
Guitar Pro 5.0
High Definition Audio Driver Package - KB835221
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 1.99.1
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto und Bildbearbeitung 2.0 - hp psc 1100 series
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
hp psc 1100 series
iColorFolder
ICQ6
Informationen über Ihren PC
IsoBuster 1.6
iTunes
J2SE Runtime Environment 5.0 Update 1
KeyStat
KnuddelsBot 1.3.0
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
Megarotic Video Downloader 3.15
Micrografx Picture Publisher 10
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0
Microsoft AutoRoute 2005
Microsoft Encarta Enzyklopädie 2005
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (2.0.0.17)
Mp3tag v2.41
MSN
OpenOffice.org 2.0
Opera 9.21
Power Tab Editor 1.7
Pro Evolution Soccer 2008
QuickTime
RealPlayer
RT2500 USB Wireless LAN Card
Ruby-186-26
Setup-Start von Microsoft Works 2005
SFV Checker
Shockwave
Skype™ 3.8
SmartFTP Client
SmartFTP Client 2.0 Setup Files (remove only)
SmartFTP Client 3.0 Setup Files (remove only)
Sony Ericsson PC Suite
Spybot - Search & Destroy
Total Commander (Remove or Repair)
UEFA EURO 2004
Universal Extractor 1.6 beta
Unlocker 1.8.7
VeryPDF PDF2HTML v2.0
Viewpoint Media Player
W83L518D
Winamp (remove only)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Connect
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887797
Windows XP-Hotfix - KB890175
Windows-Sicherungsprogramm
WinRAR archiver
X10 Hardware(TM)
XviD MPEG-4 Codec
Yahoo! Install Manager
Yahoo! Toolbar mit Pop-Up-Blocker

Zitat

F-Secure BlackLight hat keine versteckten Items gefunden!

Malwarebytes sucht seit ~3 Stunden...
Wollte es nun mit ComboFix versuchen, habe aber zu oft gelesen ohne Anleitung sollte ich dies nicht tun. Erbitte also Hilfe, wäre sehr dankbar!

Dieser Beitrag wurde am 02.11.2008 um 21:59 Uhr von Apfelbowm editiert.

02.11.2008, 22:31

Swisstreasure

Moderator

Beiträge: 5694

#2 Apfelbowm

>>
Warte ab was Malwarebytes sagt und lösche das gefundene.

>>
Mache dannach folgendes:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

Zitat

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag hier

>>
sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

Gruss Swiss

03.11.2008, 10:10

Apfelbowm

...neu hier

Themenstarter

Beiträge: 7

Zitat

SDFix: Version 1.238
Run by Admin on 03.11.2008 at 09:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\100611E.EXE - Deleted
C:\WINDOWS\SYSTEM32\10068BF.EXE - Deleted
C:\WINDOWS\SYSTEM32\10C0AC6.EXE - Deleted
C:\WINDOWS\SYSTEM32\10C2274.EXE - Deleted
C:\WINDOWS\SYSTEM32\10C3560.EXE - Deleted
C:\WINDOWS\SYSTEM32\10C453F.EXE - Deleted
C:\WINDOWS\SYSTEM32\114EFA1.EXE - Deleted
C:\WINDOWS\SYSTEM32\1150358.EXE - Deleted
C:\WINDOWS\SYSTEM32\11506A3.EXE - Deleted
C:\WINDOWS\SYSTEM32\1151E62.EXE - Deleted
C:\WINDOWS\SYSTEM32\1153A37.EXE - Deleted
C:\WINDOWS\SYSTEM32\11550BC.EXE - Deleted
C:\WINDOWS\SYSTEM32\1156C62.EXE - Deleted
C:\WINDOWS\SYSTEM32\1157403.EXE - Deleted
C:\WINDOWS\SYSTEM32\1213385.EXE - Deleted
C:\WINDOWS\SYSTEM32\1213FF9.EXE - Deleted
C:\WINDOWS\SYSTEM32\12152D5.EXE - Deleted
C:\WINDOWS\SYSTEM32\1215F0A.EXE - Deleted
C:\WINDOWS\SYSTEM32\12A548F.EXE - Deleted
C:\WINDOWS\SYSTEM32\12A66AF.EXE - Deleted
C:\WINDOWS\SYSTEM32\12A77E5.EXE - Deleted
C:\WINDOWS\SYSTEM32\12A7B50.EXE - Deleted
C:\WINDOWS\SYSTEM32\12A7F96.EXE - Deleted
C:\WINDOWS\SYSTEM32\12A8EC9.EXE - Deleted
C:\WINDOWS\SYSTEM32\13F96B2.EXE - Deleted
C:\WINDOWS\SYSTEM32\13F9C6F.EXE - Deleted
C:\WINDOWS\SYSTEM32\13F9EFF.EXE - Deleted
C:\WINDOWS\SYSTEM32\13FA410.EXE - Deleted
C:\WINDOWS\SYSTEM32\13FA6DF.EXE - Deleted
C:\WINDOWS\SYSTEM32\13FAE8F.EXE - Deleted
C:\WINDOWS\SYSTEM32\153C36E.EXE - Deleted
C:\WINDOWS\SYSTEM32\153CB2E.EXE - Deleted
C:\WINDOWS\SYSTEM32\1548E7E.EXE - Deleted
C:\WINDOWS\SYSTEM32\154962F.EXE - Deleted
C:\WINDOWS\SYSTEM32\1549E1E.EXE - Deleted
C:\WINDOWS\SYSTEM32\154A5CF.EXE - Deleted
C:\WINDOWS\SYSTEM32\154A785.EXE - Deleted
C:\WINDOWS\SYSTEM32\154AF45.EXE - Deleted
C:\WINDOWS\SYSTEM32\168DB07.EXE - Deleted
C:\WINDOWS\SYSTEM32\168ED47.EXE - Deleted
C:\WINDOWS\SYSTEM32\1699BC7.EXE - Deleted
C:\WINDOWS\SYSTEM32\169AD0C.EXE - Deleted
C:\WINDOWS\SYSTEM32\169B3B4.EXE - Deleted
C:\WINDOWS\SYSTEM32\169BB74.EXE - Deleted
C:\WINDOWS\SYSTEM32\169C160.EXE - Deleted
C:\WINDOWS\SYSTEM32\169D2A5.EXE - Deleted
C:\WINDOWS\SYSTEM32\17E3565.EXE - Deleted
C:\WINDOWS\SYSTEM32\17E489F.EXE - Deleted
C:\WINDOWS\SYSTEM32\186F9D.EXE - Deleted
C:\WINDOWS\SYSTEM32\18774E.EXE - Deleted
C:\WINDOWS\SYSTEM32\187F2D.EXE - Deleted
C:\WINDOWS\SYSTEM32\189267.EXE - Deleted
C:\WINDOWS\SYSTEM32\1893EE.EXE - Deleted
C:\WINDOWS\SYSTEM32\18A563.EXE - Deleted
C:\WINDOWS\SYSTEM32\18B939.EXE - Deleted
C:\WINDOWS\SYSTEM32\18C416.EXE - Deleted
C:\WINDOWS\SYSTEM32\18CA9E.EXE - Deleted
C:\WINDOWS\SYSTEM32\18CDEA.EXE - Deleted
C:\WINDOWS\SYSTEM32\18D56C.EXE - Deleted
C:\WINDOWS\SYSTEM32\18DA7C.EXE - Deleted
C:\WINDOWS\SYSTEM32\18DA9C.EXE - Deleted
C:\WINDOWS\SYSTEM32\18DD2C.EXE - Deleted
C:\WINDOWS\SYSTEM32\18E569.EXE - Deleted
C:\WINDOWS\SYSTEM32\18EFE9.EXE - Deleted
C:\WINDOWS\SYSTEM32\1938228.EXE - Deleted
C:\WINDOWS\SYSTEM32\1938AE2.EXE - Deleted
C:\WINDOWS\SYSTEM32\1A8B9DB.EXE - Deleted
C:\WINDOWS\SYSTEM32\1A8CE5D.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D2117.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D2E3CD.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D2EB8E.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D2F39C.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D306D6.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D325D.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D47BA.EXE - Deleted
C:\WINDOWS\SYSTEM32\1D5900.EXE - Deleted
C:\WINDOWS\SYSTEM32\2DB386.EXE - Deleted
C:\WINDOWS\SYSTEM32\2DBB46.EXE - Deleted
C:\WINDOWS\SYSTEM32\2DC45E.EXE - Deleted
C:\WINDOWS\SYSTEM32\2DCC3E.EXE - Deleted
C:\WINDOWS\SYSTEM32\2E0734.EXE - Deleted
C:\WINDOWS\SYSTEM32\2E0ED5.EXE - Deleted
C:\WINDOWS\SYSTEM32\32561B.EXE - Deleted
C:\WINDOWS\SYSTEM32\3271B2.EXE - Deleted
C:\WINDOWS\SYSTEM32\328578.EXE - Deleted
C:\WINDOWS\SYSTEM32\3296BE.EXE - Deleted
C:\WINDOWS\SYSTEM32\375EC.EXE - Deleted
C:\WINDOWS\SYSTEM32\37E78.EXE - Deleted
C:\WINDOWS\SYSTEM32\37F33.EXE - Deleted
C:\WINDOWS\SYSTEM32\3832B.EXE - Deleted
C:\WINDOWS\SYSTEM32\3888A.EXE - Deleted
C:\WINDOWS\SYSTEM32\38CEF.EXE - Deleted
C:\WINDOWS\SYSTEM32\3901C.EXE - Deleted
C:\WINDOWS\SYSTEM32\39210.EXE - Deleted
C:\WINDOWS\SYSTEM32\3922F.EXE - Deleted
C:\WINDOWS\SYSTEM32\3956B.EXE - Deleted
C:\WINDOWS\SYSTEM32\39924.EXE - Deleted
C:\WINDOWS\SYSTEM32\399C0.EXE - Deleted
C:\WINDOWS\SYSTEM32\39D0C.EXE - Deleted
C:\WINDOWS\SYSTEM32\3A0B6.EXE - Deleted
C:\WINDOWS\SYSTEM32\3DD9F.EXE - Deleted
C:\WINDOWS\SYSTEM32\3E550.EXE - Deleted
C:\WINDOWS\SYSTEM32\3ED30.EXE - Deleted
C:\WINDOWS\SYSTEM32\3F4C1.EXE - Deleted
C:\WINDOWS\SYSTEM32\4297E9.EXE - Deleted
C:\WINDOWS\SYSTEM32\42B024.EXE - Deleted
C:\WINDOWS\SYSTEM32\42E08B.EXE - Deleted
C:\WINDOWS\SYSTEM32\42E9C2.EXE - Deleted
C:\WINDOWS\SYSTEM32\42F1A2.EXE - Deleted
C:\WINDOWS\SYSTEM32\42F943.EXE - Deleted
C:\WINDOWS\SYSTEM32\434475.EXE - Deleted
C:\WINDOWS\SYSTEM32\4355AB.EXE - Deleted
C:\WINDOWS\SYSTEM32\4375F5.EXE - Deleted
C:\WINDOWS\SYSTEM32\438B42.EXE - Deleted
C:\WINDOWS\SYSTEM32\57D896.EXE - Deleted
C:\WINDOWS\SYSTEM32\57E066.EXE - Deleted
C:\WINDOWS\SYSTEM32\57E95F.EXE - Deleted
C:\WINDOWS\SYSTEM32\57F12F.EXE - Deleted
C:\WINDOWS\SYSTEM32\584A6A.EXE - Deleted
C:\WINDOWS\SYSTEM32\585EDD.EXE - Deleted
C:\WINDOWS\SYSTEM32\58C094.EXE - Deleted
C:\WINDOWS\SYSTEM32\58D1DA.EXE - Deleted
C:\WINDOWS\SYSTEM32\6CD0DF.EXE - Deleted
C:\WINDOWS\SYSTEM32\6CD8AF.EXE - Deleted
C:\WINDOWS\SYSTEM32\6CED7F.EXE - Deleted
C:\WINDOWS\SYSTEM32\6CF54F.EXE - Deleted
C:\WINDOWS\SYSTEM32\6D9807.EXE - Deleted
C:\WINDOWS\SYSTEM32\6D9FA8.EXE - Deleted
C:\WINDOWS\SYSTEM32\6E0A59.EXE - Deleted
C:\WINDOWS\SYSTEM32\6E1229.EXE - Deleted
C:\WINDOWS\SYSTEM32\80A78.EXE - Deleted
C:\WINDOWS\SYSTEM32\81DA3.EXE - Deleted
C:\WINDOWS\SYSTEM32\825E0.EXE - Deleted
C:\WINDOWS\SYSTEM32\828BEC.EXE - Deleted
C:\WINDOWS\SYSTEM32\829448.EXE - Deleted
C:\WINDOWS\SYSTEM32\82D71.EXE - Deleted
C:\WINDOWS\SYSTEM32\834AD7.EXE - Deleted
C:\WINDOWS\SYSTEM32\835C1C.EXE - Deleted
C:\WINDOWS\SYSTEM32\84A6FC.EXE - Deleted
C:\WINDOWS\SYSTEM32\84B5F0.EXE - Deleted
C:\WINDOWS\SYSTEM32\97904B.EXE - Deleted
C:\WINDOWS\SYSTEM32\9797FB.EXE - Deleted
C:\WINDOWS\SYSTEM32\995655.EXE - Deleted
C:\WINDOWS\SYSTEM32\9970C3.EXE - Deleted
C:\WINDOWS\SYSTEM32\ACA6F9.EXE - Deleted
C:\WINDOWS\SYSTEM32\ACAED9.EXE - Deleted
C:\WINDOWS\SYSTEM32\BBC3BF.EXE - Deleted
C:\WINDOWS\SYSTEM32\BBCB8F.EXE - Deleted
C:\WINDOWS\SYSTEM32\BBD44A.EXE - Deleted
C:\WINDOWS\SYSTEM32\BBDC1A.EXE - Deleted
C:\WINDOWS\SYSTEM32\CCEA11.EXE - Deleted
C:\WINDOWS\SYSTEM32\CCF1F1.EXE - Deleted
C:\WINDOWS\SYSTEM32\CCFABB.EXE - Deleted
C:\WINDOWS\SYSTEM32\CD02AA.EXE - Deleted
C:\WINDOWS\SYSTEM32\E1E2E7.EXE - Deleted
C:\WINDOWS\SYSTEM32\E1EAA7.EXE - Deleted
C:\WINDOWS\SYSTEM32\E1F2A6.EXE - Deleted
C:\WINDOWS\SYSTEM32\E1FA67.EXE - Deleted
C:\WINDOWS\SYSTEM32\F6DB30.EXE - Deleted
C:\WINDOWS\SYSTEM32\F6E2F1.EXE - Deleted
C:\WINDOWS\SYSTEM32\F6EC47.EXE - Deleted
C:\WINDOWS\SYSTEM32\F6F427.EXE - Deleted
C:\WINDOWS\SYSTEM32\FFB686.EXE - Deleted
C:\WINDOWS\SYSTEM32\FFC153.EXE - Deleted
C:\WINDOWS\SYSTEM32\FFCF8C.EXE - Deleted
C:\WINDOWS\SYSTEM32\FFD79B.EXE - Deleted
C:\WINDOWS\system32\80410.exe - Deleted
C:\WINDOWS\system32\80a78.exe - Deleted
C:\WINDOWS\system32\81da3.exe - Deleted
C:\WINDOWS\system32\825e0.exe - Deleted
C:\WINDOWS\system32\82d71.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 10:07:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3c,ed,d6,19,3f,a3,fb,35,0b,35,b4,6d,e1,3c,bb,67,c1,b3,e6,d6,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,9c,f2,66,92,2c,c6,a4,00,74,fd,20,bc,c0,b7,55,ab,f2,..
"khjeh"=hex:52,3d,c5,69,fb,5e,4e,d5,9b,c2,bd,c7,82,25,93,94,19,a6,c5,19,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:49,e3,ed,a9,2a,cd,0f,1c,ea,30,a6,a8,1d,32,65,d8,48,1c,2a,0c,77,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3c,ed,d6,19,3f,a3,fb,35,0b,35,b4,6d,e1,3c,bb,67,c1,b3,e6,d6,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,9c,f2,66,92,2c,c6,a4,00,74,fd,20,bc,c0,b7,55,ab,f2,..
"khjeh"=hex:52,3d,c5,69,fb,5e,4e,d5,9b,c2,bd,c7,82,25,93,94,19,a6,c5,19,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:49,e3,ed,a9,2a,cd,0f,1c,ea,30,a6,a8,1d,32,65,d8,48,1c,2a,0c,77,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:enabled:BlueSoleil"
"C:\\WINDOWS\\system32\\844822.exe"="C:\\WINDOWS\\system32\\844822.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\84725f.exe"="C:\\WINDOWS\\system32\\84725f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\375dd.exe"="C:\\WINDOWS\\system32\\375dd.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\3834a.exe"="C:\\WINDOWS\\system32\\3834a.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\18874c.exe"="C:\\WINDOWS\\system32\\18874c.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\18af17.exe"="C:\\WINDOWS\\system32\\18af17.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\2deee9.exe"="C:\\WINDOWS\\system32\\2deee9.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\2dfb9b.exe"="C:\\WINDOWS\\system32\\2dfb9b.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\42f839.exe"="C:\\WINDOWS\\system32\\42f839.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\4321f9.exe"="C:\\WINDOWS\\system32\\4321f9.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\58735f.exe"="C:\\WINDOWS\\system32\\58735f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\589dda.exe"="C:\\WINDOWS\\system32\\589dda.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\6df1ff.exe"="C:\\WINDOWS\\system32\\6df1ff.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\6dfea1.exe"="C:\\WINDOWS\\system32\\6dfea1.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\82fd82.exe"="C:\\WINDOWS\\system32\\82fd82.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\83281c.exe"="C:\\WINDOWS\\system32\\83281c.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\988326.exe"="C:\\WINDOWS\\system32\\988326.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\9918b0.exe"="C:\\WINDOWS\\system32\\9918b0.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\3668b.exe"="C:\\WINDOWS\\system32\\3668b.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\37408.exe"="C:\\WINDOWS\\system32\\37408.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\4246cc.exe"="C:\\WINDOWS\\system32\\4246cc.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\42734a.exe"="C:\\WINDOWS\\system32\\42734a.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\57cffb.exe"="C:\\WINDOWS\\system32\\57cffb.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\581234.exe"="C:\\WINDOWS\\system32\\581234.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\6d7caf.exe"="C:\\WINDOWS\\system32\\6d7caf.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\6d88e4.exe"="C:\\WINDOWS\\system32\\6d88e4.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\976e3c.exe"="C:\\WINDOWS\\system32\\976e3c.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\97834a.exe"="C:\\WINDOWS\\system32\\97834a.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ac81fc.exe"="C:\\WINDOWS\\system32\\ac81fc.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ac8f4b.exe"="C:\\WINDOWS\\system32\\ac8f4b.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\100479a.exe"="C:\\WINDOWS\\system32\\100479a.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\10054e9.exe"="C:\\WINDOWS\\system32\\10054e9.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\11552b0.exe"="C:\\WINDOWS\\system32\\11552b0.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\115600e.exe"="C:\\WINDOWS\\system32\\115600e.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\12a5d78.exe"="C:\\WINDOWS\\system32\\12a5d78.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\12a6ab6.exe"="C:\\WINDOWS\\system32\\12a6ab6.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\13f6939.exe"="C:\\WINDOWS\\system32\\13f6939.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\13f82ad.exe"="C:\\WINDOWS\\system32\\13f82ad.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1548db3.exe"="C:\\WINDOWS\\system32\\1548db3.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1549b21.exe"="C:\\WINDOWS\\system32\\1549b21.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1699965.exe"="C:\\WINDOWS\\system32\\1699965.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\169a6c3.exe"="C:\\WINDOWS\\system32\\169a6c3.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\387fd.exe"="C:\\WINDOWS\\system32\\387fd.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\38f02.exe"="C:\\WINDOWS\\system32\\38f02.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\18b3e9.exe"="C:\\WINDOWS\\system32\\18b3e9.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\43244b.exe"="C:\\WINDOWS\\system32\\43244b.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\4364ee.exe"="C:\\WINDOWS\\system32\\4364ee.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\827eeb.exe"="C:\\WINDOWS\\system32\\827eeb.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\8285d1.exe"="C:\\WINDOWS\\system32\\8285d1.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\114e262.exe"="C:\\WINDOWS\\system32\\114e262.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\114e977.exe"="C:\\WINDOWS\\system32\\114e977.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\153b6ac.exe"="C:\\WINDOWS\\system32\\153b6ac.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\153bd82.exe"="C:\\WINDOWS\\system32\\153bd82.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\168b53f.exe"="C:\\WINDOWS\\system32\\168b53f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\168ca3e.exe"="C:\\WINDOWS\\system32\\168ca3e.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\17e125d.exe"="C:\\WINDOWS\\system32\\17e125d.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\17e25b6.exe"="C:\\WINDOWS\\system32\\17e25b6.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\19371cc.exe"="C:\\WINDOWS\\system32\\19371cc.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\193797d.exe"="C:\\WINDOWS\\system32\\193797d.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1a881c4.exe"="C:\\WINDOWS\\system32\\1a881c4.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1a8acac.exe"="C:\\WINDOWS\\system32\\1a8acac.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1d2d71b.exe"="C:\\WINDOWS\\system32\\1d2d71b.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1d2dde2.exe"="C:\\WINDOWS\\system32\\1d2dde2.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\368ec.exe"="C:\\WINDOWS\\system32\\368ec.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\37001.exe"="C:\\WINDOWS\\system32\\37001.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1862cc.exe"="C:\\WINDOWS\\system32\\1862cc.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1869a2.exe"="C:\\WINDOWS\\system32\\1869a2.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\bbb6cf.exe"="C:\\WINDOWS\\system32\\bbb6cf.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\bbbde3.exe"="C:\\WINDOWS\\system32\\bbbde3.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\3d051.exe"="C:\\WINDOWS\\system32\\3d051.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\3d7a4.exe"="C:\\WINDOWS\\system32\\3d7a4.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\18c771.exe"="C:\\WINDOWS\\system32\\18c771.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\18ce47.exe"="C:\\WINDOWS\\system32\\18ce47.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ccdc84.exe"="C:\\WINDOWS\\system32\\ccdc84.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\cce399.exe"="C:\\WINDOWS\\system32\\cce399.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\e1d599.exe"="C:\\WINDOWS\\system32\\e1d599.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\e1dc6f.exe"="C:\\WINDOWS\\system32\\e1dc6f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\f6cd36.exe"="C:\\WINDOWS\\system32\\f6cd36.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\f6d46a.exe"="C:\\WINDOWS\\system32\\f6d46a.exe:*:Enabled:ipsec"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\system32\\10bc7c2.exe"="C:\\WINDOWS\\system32\\10bc7c2.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\10bf913.exe"="C:\\WINDOWS\\system32\\10bf913.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1211fce.exe"="C:\\WINDOWS\\system32\\1211fce.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1212a7d.exe"="C:\\WINDOWS\\system32\\1212a7d.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\375ae.exe"="C:\\WINDOWS\\system32\\375ae.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\37cb3.exe"="C:\\WINDOWS\\system32\\37cb3.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\187356.exe"="C:\\WINDOWS\\system32\\187356.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1886af.exe"="C:\\WINDOWS\\system32\\1886af.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\2da6e3.exe"="C:\\WINDOWS\\system32\\2da6e3.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\2dadaa.exe"="C:\\WINDOWS\\system32\\2dadaa.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\429f0d.exe"="C:\\WINDOWS\\system32\\429f0d.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\42d715.exe"="C:\\WINDOWS\\system32\\42d715.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\57cbe4.exe"="C:\\WINDOWS\\system32\\57cbe4.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\57d2aa.exe"="C:\\WINDOWS\\system32\\57d2aa.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\6cc40e.exe"="C:\\WINDOWS\\system32\\6cc40e.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\6ccae4.exe"="C:\\WINDOWS\\system32\\6ccae4.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ff30db.exe"="C:\\WINDOWS\\system32\\ff30db.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ff915a.exe"="C:\\WINDOWS\\system32\\ff915a.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\114aa89.exe"="C:\\WINDOWS\\system32\\114aa89.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\114f51f.exe"="C:\\WINDOWS\\system32\\114f51f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\12a328f.exe"="C:\\WINDOWS\\system32\\12a328f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\12a4617.exe"="C:\\WINDOWS\\system32\\12a4617.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\13f6e6a.exe"="C:\\WINDOWS\\system32\\13f6e6a.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\13f756e.exe"="C:\\WINDOWS\\system32\\13f756e.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1548130.exe"="C:\\WINDOWS\\system32\\1548130.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\15487f6.exe"="C:\\WINDOWS\\system32\\15487f6.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1697b2f.exe"="C:\\WINDOWS\\system32\\1697b2f.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1698e88.exe"="C:\\WINDOWS\\system32\\1698e88.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\7fd0b.exe"="C:\\WINDOWS\\system32\\7fd0b.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\80410.exe"="C:\\WINDOWS\\system32\\80410.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1d0012.exe"="C:\\WINDOWS\\system32\\1d0012.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\1d135c.exe"="C:\\WINDOWS\\system32\\1d135c.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\323545.exe"="C:\\WINDOWS\\system32\\323545.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\32487f.exe"="C:\\WINDOWS\\system32\\32487f.exe:*:Enabled:ipsec"
"D:\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO\\emp-css\\srcds.exe"="D:\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO\\emp-css\\srcds.exe:*:Enabled:srcds"
"D:\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO\\emp-css\\hl2.exe"="D:\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO\\emp-css\\hl2.exe:*:Enabled:hl2"
"G:\\blobby\\volley.exe"="G:\\blobby\\volley.exe:*:Enabled:volley"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabledro Evolution Soccer 2008"
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"="C:\\Programme\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0"
"C:\\Programme\\TravianManager\\lib\\IeEmbed.exe"="C:\\Programme\\TravianManager\\lib\\IeEmbed.exe:*:Enabled:JDesktop Integration Components binary"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate"
"C:\\Programme\\FlashFXP\\FlashFXP.exe"="C:\\Programme\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:enabled:BlueSoleil"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\FlashFXP\\FlashFXP.exe"="C:\\Programme\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 6 Feb 2005 8 ..SHR --- "C:\WINDOWS\system32\D5D86239B1.sys"
Sun 6 Feb 2005 5,744 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 6 Aug 2004 53,760 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\mnyinsta.dll"
Fri 6 Aug 2004 35,328 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\setuplng.dll"

Finished!

leider hat das mit fix.bat nicht geklappt...? danke vielmals bis dahin.

03.11.2008, 16:30

Swisstreasure

Moderator

Beiträge: 5694

#4 Lösche: C:\SDFix\backups\

Was hat nicht geklappt?

>>
Zuerst müssen (proactieve defense) aktive scanner de-aktiviert werden
Wenn Guards benutzt werden, auch de-aktivieren (Teatimer)

Man muss die mbr.exe direkt in den Root auf C:\ downloaden

Dann via Start - Ausführen >> schreibe rein: cmd
reinkopieren :

C:\mbr.exe -f

auf c:\ wir dann ein mbr.log abgelegt
Dieses hier posten.

Gruss Swiss

03.11.2008, 17:21

Apfelbowm

...neu hier

Themenstarter

Beiträge: 7

#5 backups gelöscht

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !

03.11.2008, 21:41

Swisstreasure

Moderator

Beiträge: 5694

#6 Kenne mich nicht so gut aus mit dem Masterbootrecorder. Wart einmal auf eine Aniwort eine Moderators.

Gruss Swiss

03.11.2008, 22:03

Apfelbowm

...neu hier

Themenstarter

Beiträge: 7

#7 Vielen dank bis dahin!!!
Ich habe aber alles sonst richtig gemacht oder?
Wie lange muss ich dazu i.d.R. warten? ...

04.11.2008, 16:18

Argus

Ehrenmitglied

Beiträge: 6028

#8 Tag,Apfelbowm

Du bist Infiziert mit einer der neuen Rootkits

http://board.protecus.de/t35275.htm

Versuche Folgendes:
Lade bitte eine Trial Version von Kaspersky Antivirus 2009 herunter
http://downloads.kaspersky.nl/products/8.0.0.357/kav2009_de.exe

Entferne Antivir

Update Kaspersky und scan dein Rechner und Berichte
__________
MfG Argus

04.11.2008, 18:16

Apfelbowm

...neu hier

Themenstarter

Beiträge: 7

#9 über systemsteuerung software kann ich antivir nicht mehr deinstallieren, soll ich per hand prozesse stoppen (in der taskleiste läuft es ja) und alles per hand löschen?
kaspersky lade ich gerade
hört sich ja böse an, sollte ich auf einem 2ten pc passwörter ändern
danke dir schonmal

/e habe es neu installiert und direkt danach deinstalliert
hat perfekt funktioniert

Dieser Beitrag wurde am 04.11.2008 um 18:36 Uhr von Apfelbowm editiert.

12.11.2008, 00:06

Apfelbowm

...neu hier

Themenstarter

Beiträge: 7

#10 Kaspersky Logfile

http://www.file-upload.net/download-1248274/kaspersky.txt.html

12.11.2008, 00:50

Swisstreasure

Moderator

Beiträge: 5694

#11

Zitat

G:\Software\hacking\pcpc\passwort generator\setup.exe
G:\Software\hacking\pcpc\passwort generator\setup.exe
G:\Software\hacking\mirc616.exe

Irgendwie gefällt mir das nicht so...

Denkst Du nicht auch es wäre sinnvoller Neu aufzusetzen?

Gruss Swiss

12.11.2008, 14:30

Apfelbowm

...neu hier

Themenstarter

Beiträge: 7

#12 "Hacking" ist in dem Zusammenhang zusehen was Passwort sniffen / generieren etc etc angeht - pcpc steht für pcpraxis (von 2006?) - ist also einfach nur ein ordner. sollte ich eigentlich mal ausmisten. oO

warum mirc (chatprogramm) setup exe da drin ist, weiss ich nicht

neu aufsetzen könnte ich, aber wenn ich das richtig sehe ist das in so gut wie jeder exe datei drin ist? dann bleibt das ja auch. wird ja nur von C:/ gelöscht

Gibt es eine andere Möglichkeit ausser neu aufzusetzen!?

Danke&Gruss

12.11.2008, 17:35

Swisstreasure

Moderator

Beiträge: 5694

#13 Ich würde Dir gerne helfen, aber das mit dem infizierten MBR ist mir zu heikel.
Zudem wie Arnold geschrieben hat:

Zitat

Du bist Infiziert mit einer der neuen Rootkits
http://board.protecus.de/t35275.htm

Gruss Swiss

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1