Mozilla hängt sehr stark, Trojaner wird angezeigt.

#1 hallo erstmal
hab die kategorie hier gewählt, weil ich ja browser probleme habe. bin mir nicht sicher obs an einem trojaner liegt. deswegen sorry, falls es die falsche abteilung ist.
bin auf den rat eines freundes hin hier ins forum gegangen. und wzar habe ich seit gestern folgendes problem. mozilla firefox und der ie hängen beide sehr stark. klicks kommen erst verzögert an, geschriebenes kommt auch erst ca. 10 sec später auf den bildschirm. ich muss auch mit dem pc hier schreiben, deswegen auch schonmal entschuldigung, wegen möglicher rechtschreibfehler.
msn käuft relativ störungsfrei und wenn ich mal cs zum laufen bringe, läuft das auch normal. sobald ich wieder im explorer arbeite hab ich auch probleme. die größten aber mit mozilla. hatte gestern von einer eigentlich sonst vertrauenswürdigen seite programm runtergeladen. es wurde mir ein trojaner angezeigt. bin daraufhin wieder zurücl auf die seite und habe mir die comments zu dem programmm durchgelseen. waren alles positive, daher dachte ich an einen fehlalarm, zumal ich den uploader des programms auch in bisher guter errinerung habe. hab darauf hin die meldung von kaspersky (internet security 8) irnoriert und das programm zur vertrauenswürdigen zone hinzugetan.
dann traten gegen abend die problemme auf. ie öffnete sich mit werbung, lief aber noch normal. habe dann die spyware mit spyhunter entfernen können und war diese dann auch los. danaxchh kamen dann die oben genannten probs hinzu. ließ kaspersky einmal über c:\ drüberlaufen und er fand zwei trojaner, könnte diese aber nicht effektiv entfernen. hatte bisher nur progleme mit viren und spyware, daher weiß ich nicht, zu was trojaner exakt in der lage sind. um hilfe würde ich mich freuen. hijackthis hab ich auf dem pc. bräuchte aber noch einebedienungsanleitung. googlen läss sich sehr schwer im moment^^

ps: komme nicht in den abgesicherten modus, weil mir xp eine fehlermeldung bringt. es sei anscheinend nicht aktiviert. ist aber meine persönliche cd gewesen, mit der ichs installiert habe und läuft nun seit ich vor 3 monaten neu aufgesetzt habe, was ich nicht unbeding tnochmal machen will. zu viel schon eignerichtet

#2 >>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html


>>
Erstelle ein HJT Log und poste es:
http://virus-protect.org/hjtkurz.html

Gruss Swiss

#3 danke für die flotte antwort:

log von malwarebyte:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1400
Windows 5.1.2600 Service Pack 2

15.11.2008 18:41:31
mbam-log-2008-11-15 (18-41-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 77234
Laufzeit: 27 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\jatrbpie.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vtUnkjIc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ljJARIYO.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2f98e0d2-58a6-4a8d-a835-919ca397f40a} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{2f98e0d2-58a6-4a8d-a835-919ca397f40a} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjariyo (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2f98e0d2-58a6-4a8d-a835-919ca397f40a} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\vtunkjic -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtunkjic -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\vtUnkjIc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\cIjknUtv.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\cIjknUtv.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJARIYO.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hbctqbpl.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lpbqtcbh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jatrbpie.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\eipbrtaj.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2F1DACA-28CB-463C-A691-2C54754A1BB6}\RP57\A0014292.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2F1DACA-28CB-463C-A691-2C54754A1BB6}\RP65\A0017871.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2F1DACA-28CB-463C-A691-2C54754A1BB6}\RP76\A0021438.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2F1DACA-28CB-463C-A691-2C54754A1BB6}\RP81\A0023881.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2F1DACA-28CB-463C-A691-2C54754A1BB6}\RP81\A0023897.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


hjt log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:46, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\Update.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system\Cm106eye.exe
C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [Update] "C:\WINDOWS\Update.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update] "C:\WINDOWS\Update.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Programme\RocketDock\RocketDock.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: ABBYY FineReader 9.0-Lizenzierungsdienst (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7194 bytes


by the way. seit dem ich den scan bei malwarebyte gestartet habe, läuft alles wieder normal.

#4 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\Update.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#5 den log von virtustotal kann ich leider nicht schicken, weil combofix einfach meinen pc neugestartet und die update.exe dann gelöscht hat. hab den log jetzt leider nicht mehr.

hier der log von combofix:

ComboFix 08-11-13.02 - Kamel 2008-11-15 19:25:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1475 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kamel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\update.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-15 bis 2008-11-15 ))))))))))))))))))))))))))))))
.

2008-11-15 19:35 . 2008-11-15 19:35 13,694 --a------ c:\windows\system32\wpa.bak
2008-11-15 19:34 . 2008-11-15 19:34 246,272 --a------ c:\windows\system32\vtUnkjIc.dll
2008-11-15 19:34 . 2008-11-15 19:34 34,304 --a------ c:\windows\system32\ljjariyo.dll
2008-11-15 18:51 . 2008-11-15 18:51 <DIR> d-------- c:\programme\Trend Micro
2008-11-15 18:13 . 2008-11-15 18:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-15 18:13 . 2008-11-15 18:13 <DIR> d-------- c:\dokumente und einstellungen\Kamel\Anwendungsdaten\Malwarebytes
2008-11-15 18:13 . 2008-11-15 18:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-15 18:13 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-15 18:13 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-15 12:33 . 2008-08-06 23:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-15 12:33 . 2008-08-06 23:15 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-11-15 12:33 . 2008-08-06 23:15 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-11-15 12:33 . 2008-11-15 19:27 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-15 12:33 . 2008-08-06 23:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-11-15 12:33 . 2008-08-06 23:15 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-11-15 12:33 . 2008-08-06 23:15 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-15 12:33 . 2008-11-15 12:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2008-11-15 10:06 . 2008-11-15 10:06 <DIR> d-------- c:\programme\Enigma Software Group
2008-11-12 18:54 . 2008-11-12 18:54 17,144 --a------ c:\dokumente und einstellungen\Kamel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-11-12 16:10 . 2008-11-12 16:10 <DIR> d-------- c:\programme\EA GAMES
2008-11-12 15:50 . 2008-11-12 15:50 <DIR> d-------- c:\programme\Mp3tag
2008-11-12 15:50 . 2008-11-12 15:52 <DIR> d-------- c:\dokumente und einstellungen\Kamel\Anwendungsdaten\Mp3tag
2008-11-12 11:46 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-11 15:28 . 2008-11-11 15:28 <DIR> d--h----- c:\windows\PIF
2008-11-11 15:26 . 2008-11-11 15:26 413,696 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\Data.exe
2008-11-10 22:16 . 2008-11-10 22:16 <DIR> d-------- c:\dokumente und einstellungen\Kamel\Anwendungsdaten\Kaspersky_Key_Finder_(KKF
2008-11-09 19:07 . 2008-11-09 19:08 <DIR> d-------- c:\programme\USB Multi-Channel Audio Device
2008-11-09 19:07 . 2007-12-07 08:09 2,754 -r------- c:\windows\cm106.ini
2008-11-09 12:51 . 2008-11-09 12:51 <DIR> d-------- c:\programme\iTunes
2008-11-09 12:51 . 2008-11-09 12:51 <DIR> d-------- c:\programme\iPod
2008-11-09 12:51 . 2008-11-09 12:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-09 12:51 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-11-09 12:51 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-11-08 22:05 . 2008-11-08 22:05 1,648 --a------ C:\1.VegasWindowLayout
2008-11-02 19:26 . 2008-11-03 17:37 <DIR> d-------- c:\programme\vghd
2008-11-02 19:26 . 2008-11-02 21:17 <DIR> d-------- c:\dokumente und einstellungen\Kamel\Anwendungsdaten\vghd
2008-11-02 19:26 . 2008-11-02 19:26 152,904 --a------ c:\windows\system32\vghd.scr
2008-11-02 19:26 . 2008-11-02 21:17 5 --a------ c:\windows\sbacknt.bin
2008-10-29 17:28 . 2008-10-29 17:28 <DIR> d-------- c:\programme\Bethesda Softworks
2008-10-29 17:28 . 2008-10-29 17:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3
2008-10-29 17:27 . 2008-10-29 17:27 <DIR> d-------- c:\windows\system32\xlive
2008-10-28 17:38 . 2008-10-28 17:38 <DIR> d-------- c:\programme\Vstplugins
2008-10-24 07:12 . 2008-11-15 18:43 9,554,916 --a------ c:\windows\system32\mswinsck.ocx
2008-10-22 20:33 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
2008-10-22 20:32 . 2008-10-22 20:32 2,250,024 --a------ c:\windows\system32\pbsvc.exe
2008-10-22 20:32 . 2008-10-22 20:32 107,832 --a------ c:\windows\system32\PnkBstrB.exe
2008-10-22 20:32 . 2008-10-22 20:32 66,872 --a------ c:\windows\system32\PnkBstrA.exe
2008-10-22 20:32 . 2008-10-22 20:32 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys
2008-10-22 20:32 . 2008-10-22 20:32 22,328 --a------ c:\dokumente und einstellungen\Kamel\Anwendungsdaten\PnkBstrK.sys
2008-10-22 20:28 . 2008-10-22 20:28 <DIR> d-------- c:\programme\Ubisoft
2008-10-17 16:56 . 2008-08-14 14:42 2,182,656 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-17 16:56 . 2008-08-14 14:42 2,138,624 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-17 16:56 . 2008-08-14 14:42 2,060,032 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-17 16:56 . 2008-08-14 14:42 2,018,304 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 18:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-11-15 18:32 737,312 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-15 18:32 6,831,136 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-15 18:32 57,592 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-15 18:32 5,696 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-15 14:20 --------- d-----w c:\programme\Windows Live Safety Center
2008-11-15 11:32 --------- d-----w c:\programme\Safari
2008-11-14 12:43 --------- d-----w c:\programme\Kaspersky Lab
2008-11-12 15:40 29,392 ----a-w c:\windows\system32\drivers\secdrv.sys
2008-11-12 15:25 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-12 15:23 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-11 14:29 361,728 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-11-11 14:29 --------- d-----w c:\programme\TuneUp Utilities 2008
2008-11-06 17:23 --------- d-----w c:\programme\RocketDock
2008-10-29 10:49 --------- d-----w c:\programme\CryptLoad
2008-10-28 16:38 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2008-10-27 21:52 --------- d-----w c:\programme\Sony
2008-10-26 17:40 --------- d-----w c:\dokumente und einstellungen\Kamel\Anwendungsdaten\Apple Computer
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 15:01 --------- d-----w c:\dokumente und einstellungen\Kamel\Anwendungsdaten\teamspeak2
2008-10-07 16:56 --------- d-----w c:\programme\SlySoft
2008-10-02 16:41 304,528 ----a-w c:\windows\system32\appdrvrem01.exe
2008-10-02 16:41 2,915,944 ----a-w c:\windows\system32\drivers\appdrv01.sys
2008-10-02 14:48 --------- d-----w c:\dokumente und einstellungen\Kamel\Anwendungsdaten\XRay Engine
2008-10-01 11:01 32,000 ----a-w c:\windows\system32\drivers\usbaapl.sys
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 15:17 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-09-30 15:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ABBYY
2008-09-30 15:12 --------- d-----w c:\dokumente und einstellungen\Kamel\Anwendungsdaten\ABBYY
2008-09-30 15:11 --------- d-----w c:\programme\ABBYY FineReader 9.0
2008-09-24 15:00 --------- d-----w c:\programme\MP3Gain
2008-09-23 15:40 --------- d-----w c:\programme\mp3DirectCut
2008-09-22 18:59 --------- d-----w c:\programme\RouterControl
2008-09-20 10:23 --------- d-----w c:\programme\QuickTime
2008-09-20 10:23 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-09-20 10:23 --------- d-----w c:\programme\Bonjour
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll
2008-08-29 08:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-08-23 15:41 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-08-23 15:37 1,594 ----a-w c:\windows\system32\ealregsnapshot1.reg
2008-08-20 05:35 665,088 ----a-w c:\windows\system32\wininet.dll
2008-08-15 11:59 2,290,688 ----a-w c:\windows\system32\TUKernel.exe
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"SpyHunter Security Suite"="c:\programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-01-23 847872]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 201992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\Kamel\Startmen�\Programme\Autostart\
RocketDock.lnk - c:\programme\RocketDock\RocketDock.exe [2008-08-07 495616]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dienst-Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Dienst-Manager.lnk
backup=c:\windows\pss\Dienst-Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-10-01 11:57 111936 c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2005-05-19 14:47 57344 c:\programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2008-05-16 17:16 2732032 c:\programme\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hotplug]
--------- 2006-01-03 09:13 278528 c:\programme\Silicon Integrated Systems\SiSRaidPackage\Hot_Plug.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2008-06-24 15:06 1840424 c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2008-06-08 08:31 2221352 c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2008-06-19 08:53 570664 c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSRaid]
--------- 2006-01-23 13:52 872448 c:\programme\Silicon Integrated Systems\SiSRaidPackage\Sraid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-05-16 13:01 1630208 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-r------- 2006-03-01 09:22 577536 c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Games\\Steam\\SteamApps\\stragted_holocaust\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-10-02 2915944]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;"c:\programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe" -service [2007-09-24 566560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-08-08 222456]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [2006-02-28 14336]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [2008-11-09 1312768]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-08-06 361728]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-11-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]

2008-11-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Update - c:\windows\Update.exe
HKLM-Run-Cm106Sound - cm106.cpl
MSConfigStartUp-Update - c:\windows\Update.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Kamel\Anwendungsdaten\Mozilla\Firefox\Profiles\y6m1q35q.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 19:35:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\explorer.exe
-> c:\programme\RocketDock\RocketDock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system\cm106eye.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-15 19:47:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-15 18:41:56

Vor Suchlauf: 12 Verzeichnis(se), 20.288.765.952 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 24,036,147,200 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=UYN0VF /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=UYN0VF-BAK

277 --- E O F --- 2008-11-12 21:02:16

#6 >>

Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\system32\appdrvrem01.exe
c:\windows\system32\Drivers\appdrv01.sys
c:\windows\system32\vghd.scr

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss

Für mich:

Zitat

Files to delete:
c:\windows\system32\wpa.bak
c:\windows\system32\vtUnkjIc.dll
c:\windows\system32\ljjariyo.dll

#7 Datei appdrvrem01.exe empfangen 2008.11.16 09:59:59 (CET)
Status: Überprüfung Beendet
Gestoppt
Ergebnis: 0/36 (0%)

Datei vghd.scr empfangen 2008.11.16 10:01:21 (CET)
Status: Überprüfung Beendet
Gestoppt
Ergebnis: 0/36 (0%)

Datei appdrv01.sys empfangen 2008.11.16 10:01:03 (CET)
Status: Überprüfung Beendet
Gestoppt
Ergebnis: 1/36 (2.78%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.14.3 2008.11.15 -
AntiVir 7.9.0.31 2008.11.14 -
Authentium 5.1.0.4 2008.11.15 -
Avast 4.8.1281.0 2008.11.16 -
AVG 8.0.0.199 2008.11.15 -
BitDefender 7.2 2008.11.16 -
CAT-QuickHeal 10.00 2008.11.15 -
ClamAV 0.94.1 2008.11.15 -
DrWeb 4.44.0.09170 2008.11.16 -
eSafe 7.0.17.0 2008.11.13 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.15 -
F-Prot 4.4.4.56 2008.11.15 -
F-Secure 8.0.14332.0 2008.11.16 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.16 -
Ikarus T3.1.1.45.0 2008.11.16 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.16 -
McAfee 5435 2008.11.15 -
Microsoft 1.4104 2008.11.16 -
NOD32 3615 2008.11.15 -
Norman 5.80.02 2008.11.14 -
Panda 9.0.0.4 2008.11.15 -
PCTools 4.4.2.0 2008.11.15 -
Prevx1 V2 2008.11.16 -
Rising 21.03.42.00 2008.11.14 -
SecureWeb-Gateway 6.7.6 2008.11.14 Win32.Malware.gen!84 (suspicious)
Sophos 4.35.0 2008.11.16 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.16 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.14 -
VBA32 3.12.8.9 2008.11.15 -
ViRobot 2008.11.15.1470 2008.11.15 -
VirusBuster 4.5.11.0 2008.11.15 -

weitere Informationen
File size: 2915944 bytes
MD5...: fec0c3f9b39c5d17ec3442f244ec0474
SHA1..: ccc1f8e8f6b9ca17b6ee980160f1fcd02853ce80
SHA256: 9fae0ad7eb5a4bd4ff2450d648c1ee7c928fefd22f85dadba77652e2c9781f1d
SHA512: 4c4f4c747be376ffa9161856e4a74b5658825c43286e1d9ef0e0be951ee3293a
c64616e41a7d6c60b517cd15d6e0e07cf91855566c28d8dc80b77f627ccc3a1d
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2d6083
timedatestamp.....: 0x4868942a (Mon Jun 30 08:07:06 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x101e 0x1200 5.96 b5d598a96b4b6abae6e0647886c2b98a
.rdata 0x3000 0x394 0x400 4.19 c146beea6b19f9e749b429278b486d63
.data 0x4000 0x444 0x200 0.41 e32a26022546d3ebf741de56ddd8f2ad
PAGECORE 0x5000 0x2a4f00 0x2a5000 6.96 9fc8c44601204cee14c3719111960847
PAGE 0x2aa000 0x4e10 0x5000 6.27 84fb0bcc922b77ab7799de667ea1b25c
PAGEFS 0x2af000 0x15680 0x15800 6.65 617e2926aa3dee2cbbf0d2966f3ccd1a
INIT 0x2c5000 0x24d2 0x2600 5.55 7aef0a42d6983fd55fad1be55e517207
.rsrc 0x2c8000 0x580 0x600 3.19 2d8e11b798104153acd09d6b5023141d
.reloc 0x2c9000 0x226c 0x2400 1.49 2dfbb513034b7de28bd8900051d1f4aa

( 2 imports )
> HAL.dll: KfLowerIrql, KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock
> ntoskrnl.exe: MmGetSystemRoutineAddress, PsGetVersion, ExRaiseAccessViolation, MmUserProbeAddress, ExRaiseDatatypeMisalignment, ExAllocatePoolWithTag, ExFreePoolWithTag, memset, memcpy, RtlUpperChar, RtlUpcaseUnicodeChar, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbOemCodePageTag, ZwClose, ObfDereferenceObject, ObReferenceObjectByHandle, ExEventObjectType, ZwCreateEvent, KeInitializeEvent, KeWaitForSingleObject, KeSetEvent, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwCreateFile, ZwQueryInformationFile, ZwReadFile, ZwWriteFile, ZwDeleteFile, ZwCreateKey, ZwOpenKey, ZwFlushKey, ZwEnumerateKey, ZwDeleteKey, ZwSetValueKey, ZwDeleteValueKey, ZwQueryValueKey, RtlQueryRegistryValues, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, ZwQuerySystemInformation, MmSystemRangeStart, IofCallDriver, IoBuildDeviceIoControlRequest, KeDelayExecutionThread, _allmul, IoFreeWorkItem, KeCancelTimer, KeSetTimer, KeClearEvent, IoQueueWorkItem, IoAllocateWorkItem, KeInitializeDpc, KeInitializeTimer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, KeGetCurrentThread, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, IoGetDeviceObjectPointer, MmProbeAndLockPages, MmLockPagableDataSection, MmUnlockPagableImageSection, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, ExDeleteNPagedLookasideList, ExInitializeNPagedLookasideList, KeUnstackDetachProcess, KeStackAttachProcess, IoReleaseCancelSpinLock, IoGetCurrentProcess, ObfReferenceObject, ZwLoadDriver, RtlUnwind, KeTickCount, KeBugCheckEx

( 0 exports )
packers (Kaspersky): PE_Patch
packers (F-Prot): embedded
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=fec0c3f9b39c5d17ec3442f244ec0474



txt-datei vom ServiceFilter.zip ist im Anhang

die letzten beiden schritte mach ich gleich separat



SDFix: Version 1.240
Run by Administrator on 16.11.2008 at 10:29

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 10:36:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:c8,c7,9b,1f,27,7d,43,3a,00,09,a8,af,af,1a,f1,f4,b3,ea,bb,5e,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,c4,0a,13,67,24,9d,a0,3a,ec,a5,bb,2e,78,9c,84,93,4a,..
"khjeh"=hex:81,45,ad,a7,a6,e0,0e,1f,05,7c,6e,02,54,ad,fb,58,55,64,60,98,ac,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:af,1e,1a,fe,79,1f,71,bc,80,4a,a6,18,26,ae,b0,46,c5,88,b1,0d,24,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3e,c4,f7,6b,66,b0,4b,b9,d1,c2,51,5e,35,5a,3d,83,fa,6f,02,53,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:c8,c7,9b,1f,27,7d,43,3a,00,09,a8,af,af,1a,f1,f4,b3,ea,bb,5e,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,c4,0a,13,67,24,9d,a0,3a,ec,a5,bb,2e,78,9c,84,93,4a,..
"khjeh"=hex:81,45,ad,a7,a6,e0,0e,1f,05,7c,6e,02,54,ad,fb,58,55,64,60,98,ac,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:af,1e,1a,fe,79,1f,71,bc,80,4a,a6,18,26,ae,b0,46,c5,88,b1,0d,24,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3e,c4,f7,6b,66,b0,4b,b9,d1,c2,51,5e,35,5a,3d,83,fa,6f,02,53,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:c8,c7,9b,1f,27,7d,43,3a,00,09,a8,af,af,1a,f1,f4,b3,ea,bb,5e,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,c4,0a,13,67,24,9d,a0,3a,ec,a5,bb,2e,78,9c,84,93,4a,..
"khjeh"=hex:81,45,ad,a7,a6,e0,0e,1f,05,7c,6e,02,54,ad,fb,58,55,64,60,98,ac,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:af,1e,1a,fe,79,1f,71,bc,80,4a,a6,18,26,ae,b0,46,c5,88,b1,0d,24,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3e,c4,f7,6b,66,b0,4b,b9,d1,c2,51,5e,35,5a,3d,83,fa,6f,02,53,8f,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe:*:Enabled:Installationsprogramm f�r Kaspersky Internet Security 2009"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"D:\\Games\\Steam\\SteamApps\\stragted_holocaust\\counter-strike source\\hl2.exe"="D:\\Games\\Steam\\SteamApps\\stragted_holocaust\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"="C:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe:*:Enabled:Far Cry 2 Updater"
"C:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"="C:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe:*:Enabled:Editor"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:EnablednkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:EnablednkBstrB"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Wed 3 Sep 2008 24 ..SH. --- "C:\WINDOWS\SA68E98DF.tmp"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Sun 16 Mar 2008 216,064 ..SHR --- "C:\WINDOWS\system32\nbDX.dll"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"
Tue 8 Jul 2008 72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"
Tue 2 Oct 2007 16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"
Mon 22 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 19 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 19 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Tue 20 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Tue 23 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 22 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 19 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Mon 2 Dec 2002 431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Wed 6 Aug 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sat 3 Nov 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"
Thu 20 Mar 2008 5,632 ..SHR --- "C:\Programme\eRightSoft\SUPER\spk\1stRun.exe"
Sat 23 Aug 2008 444 ...HR --- "C:\Dokumente und Einstellungen\Kamel\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!



log von datfindbat:

Datenträger in Laufwerk C: ist Progs And Media
Volumeseriennummer: 2C7F-C319

Verzeichnis von c:\

16.11.2008 15:47 0 dirdat.txt
16.11.2008 10:32 2.145.386.496 pagefile.sys
16.11.2008 00:44 460 boot.ini
15.11.2008 19:47 19.740 ComboFix.txt
15.11.2008 12:52 389 Boot.bak
08.11.2008 22:05 1.648 1.VegasWindowLayout
03.09.2008 23:38 109 start
06.08.2008 23:04 0 MSDOS.SYS
06.08.2008 23:04 0 AUTOEXEC.BAT
06.08.2008 23:04 0 IO.SYS
06.08.2008 23:04 0 CONFIG.SYS

Datenträger in Laufwerk C: ist Progs And Media
Volumeseriennummer: 2C7F-C319

Verzeichnis von C:\WINDOWS\system32

16.11.2008 10:38 186.097 nvapps.xml
15.11.2008 19:35 13.694 wpa.bak
15.11.2008 19:35 13.694 wpa.dbl
15.11.2008 19:34 34.304 ljjariyo.dll
15.11.2008 19:34 246.272 vtUnkjIc.dll
15.11.2008 18:43 9.554.916 mswinsck.ocx
15.11.2008 09:51 0 275c07c8-.txt
11.11.2008 15:29 361.728 TuneUpDefragService.exe
04.11.2008 01:10 17.318.336 MRT.exe
02.11.2008 19:26 152.904 vghd.scr
30.10.2008 13:30 471.554 perfh007.dat
30.10.2008 13:30 450.686 perfh009.dat
30.10.2008 13:30 75.244 perfc009.dat
30.10.2008 13:30 1.103.578 PerfStringBackup.INI
30.10.2008 13:30 90.740 perfc007.dat
22.10.2008 20:32 107.832 PnkBstrB.exe
22.10.2008 20:32 66.872 PnkBstrA.exe
22.10.2008 20:32 2.250.024 pbsvc.exe
18.10.2008 12:35 1.410.288 FNTCACHE.DAT
15.10.2008 17:57 332.800 netapi32.dll
02.10.2008 17:41 304.528 appdrvrem01.exe
30.09.2008 16:43 1.286.152 msxml4.dll
15.09.2008 16:37 1.846.144 win32k.sys
06.09.2008 14:09 90.112 QuickTimeVR.qtx
06.09.2008 14:09 57.344 QuickTime.qts
04.09.2008 17:43 1.106.944 msxml3.dll
29.08.2008 20:06 1.350.664 msxml6.dll
29.08.2008 09:18 87.336 dns-sd.exe
29.08.2008 08:53 61.440 dnssd.dll
25.08.2008 23:25 9.728 BASSMOD.dll
23.08.2008 16:41 107.888 CmdLineExt.dll
23.08.2008 16:37 1.594 ealregsnapshot1.reg
20.08.2008 06:35 3.081.216 mshtml.dll
20.08.2008 06:35 617.984 urlmon.dll
20.08.2008 06:35 449.024 mshtmled.dll
20.08.2008 06:35 16.384 jsproxy.dll
20.08.2008 06:35 665.088 wininet.dll
20.08.2008 06:35 1.023.488 browseui.dll
20.08.2008 06:35 474.624 shlwapi.dll
20.08.2008 06:35 39.424 pngfilt.dll
20.08.2008 06:35 532.480 mstime.dll
20.08.2008 06:35 1.494.528 shdocvw.dll
20.08.2008 06:35 251.392 iepeers.dll
20.08.2008 06:35 55.808 extmgr.dll
20.08.2008 06:35 1.056.256 danim.dll
20.08.2008 06:35 205.312 dxtrans.dll
20.08.2008 06:35 152.064 cdfview.dll
20.08.2008 06:35 146.432 msrating.dll
20.08.2008 06:35 96.768 inseng.dll
20.08.2008 06:35 357.888 dxtmsft.dll
19.08.2008 10:51 374.272 xpsp3res.dll
15.08.2008 12:59 2.290.688 TUKernel.exe
14.08.2008 14:42 2.138.624 ntoskrnl.exe
14.08.2008 14:42 2.018.304 ntkrnlpa.exe
13.08.2008 21:00 359.230 TZLog.log
13.08.2008 13:00 6.944 jupdate-1.6.0_07-b06.log
09.08.2008 14:11 188 MsiExec.exe.log
09.08.2008 12:14 34.064 lhacm.acm
07.08.2008 00:00 0 h323log.txt
06.08.2008 23:58 23.392 nscompat.tlb
06.08.2008 23:58 16.832 amcompat.tlb
06.08.2008 23:06 261 $winnt$.inf
06.08.2008 23:04 2.951 CONFIG.NT
06.08.2008 23:03 488 WindowsLogon.manifest
06.08.2008 23:03 488 logonui.exe.manifest
06.08.2008 23:03 749 cdplayer.exe.manifest
06.08.2008 23:03 749 ncpa.cpl.manifest
06.08.2008 23:03 749 sapi.cpl.manifest
06.08.2008 23:03 749 wuaucpl.cpl.manifest
06.08.2008 23:03 749 nwc.cpl.manifest
06.08.2008 23:02 21.740 emptyregdb.dat
06.08.2008 14:27 499.712 msvcp71.dll

Datenträger in Laufwerk C: ist Progs And Media
Volumeseriennummer: 2C7F-C319

Verzeichnis von C:\WINDOWS

16.11.2008 15:12 26.340 svcpack.log
16.11.2008 15:12 1.973.215 WindowsUpdate.log
16.11.2008 10:33 50 wiaservc.log
16.11.2008 10:33 159 wiadebug.log
16.11.2008 10:32 0 0.log
16.11.2008 10:32 2.048 bootstat.dat
16.11.2008 10:29 123.526 ntbtlog.txt
16.11.2008 10:25 32.566 SchedLgU.Txt
16.11.2008 09:54 42.141 wmsetup.log
16.11.2008 00:44 227 system.ini
16.11.2008 00:44 603 win.ini
15.11.2008 19:35 25.849 setuplog.txt
15.11.2008 15:20 129.286 setupapi.log
12.11.2008 22:01 529.416 msxml6-KB954459-enu-x86.LOG
12.11.2008 22:01 13.699 ntdtcsetup.log
12.11.2008 22:01 74.343 iis6.log
12.11.2008 22:01 22.605 comsetup.log
12.11.2008 22:01 3.762 ocmsn.log
12.11.2008 22:01 31.031 tsoc.log
12.11.2008 22:01 3.421 tabletoc.log
12.11.2008 22:01 1.393 imsins.log
12.11.2008 22:01 8.866 KB957097.log
12.11.2008 22:01 32.076 ocgen.log
12.11.2008 22:01 11.913 netfxocm.log
12.11.2008 22:01 4.675 MedCtrOC.log
12.11.2008 22:01 3.399 msgsocm.log
12.11.2008 22:01 68.011 FaxSetup.log
12.11.2008 22:01 21.018 msmqinst.log
12.11.2008 22:00 1.393 imsins.BAK
12.11.2008 22:00 9.196 KB955069.log
12.11.2008 22:00 2.808 updspapi.log
12.11.2008 22:00 328.618 msxml4-KB954430-enu.LOG
09.11.2008 19:08 224 Cm106.ini.cfl
02.11.2008 21:17 5 sbacknt.bin
29.10.2008 17:27 36.694 DirectX.log
28.10.2008 17:51 69 NeroDigital.ini
27.10.2008 16:02 38 avisplitter.INI
24.10.2008 21:00 8.416 KB958644.log
17.10.2008 18:31 11.067 KB956803.log
17.10.2008 18:31 9.469 KB956391.log
17.10.2008 18:31 11.067 KB957095.log
17.10.2008 18:31 10.975 KB954211.log
17.10.2008 18:31 12.279 KB956841.log
17.10.2008 18:30 19.469 KB956390.log
22.09.2008 19:59 2.012 RouterControl_Uninstall.in
10.09.2008 21:00 6.645 KB938464.log
10.09.2008 21:00 4.169 KB954154.log
10.09.2008 21:00 0 setupact.log
03.09.2008 23:13 24 SA68E98DF.tmp
16.08.2008 04:01 276 game.ini
10.08.2008 21:00 302.592 msxml4-KB936181-enu.LOG
07.08.2008 14:49 6.240 DPINST.LOG
07.08.2008 12:43 400 ODBC.INI
06.08.2008 23:45 0 nsreg.dat
06.08.2008 23:27 829 OEWABLog.txt
06.08.2008 23:18 0 Sti_Trace.log
06.08.2008 23:15 0 setuperr.log
06.08.2008 23:07 8.192 REGLOCS.OLD
06.08.2008 23:04 0 control.ini
06.08.2008 23:04 316.640 WMSysPr9.prx
06.08.2008 23:04 4.161 ODBCINST.INI
06.08.2008 23:03 749 WindowsShell.Manifest
06.08.2008 23:02 37 vbaddin.ini
06.08.2008 23:02 36 vb.ini

Datenträger in Laufwerk C: ist Progs And Media
Volumeseriennummer: 2C7F-C319

Verzeichnis von C:\DOKUME~1\Kamel\LOKALE~1\Temp

16.11.2008 10:38 512 ~DF8407.tmp
16.11.2008 10:38 376.832 ~DF83B5.tmp
16.11.2008 10:38 512 ~DF62A7.tmp
16.11.2008 10:38 376.832 ~DF6077.tmp
16.11.2008 10:08 67.994 TFR1C.tmp
16.11.2008 10:08 21.122 TFR1A.tmp
16.11.2008 10:08 27.777 TFR18.tmp
16.11.2008 10:08 67.560 TFR17.tmp
16.11.2008 10:08 59.218 TFR14.tmp
16.11.2008 10:08 46.660 TFR12.tmp
16.11.2008 10:08 46.021 TFR11.tmp
16.11.2008 10:08 10.225 TFR10.tmp
16.11.2008 09:56 1.384 wmplog00.sqm
13 Datei(en) 1.102.649 Bytes
0 Verzeichnis(se), 23.845.634.048 Bytes frei

#8 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Feld:

Zitat

Files to delete:
c:\windows\system32\wpa.bak
c:\windows\system32\vtUnkjIc.dll
c:\windows\system32\ljjariyo.dll

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute
- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

Gruss Swiss