Ich kann meine Laufwerke im Arbeitsplatz nicht mehr per Doppelklick öffen

#16 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 30.01.2009 20:07:27 for strings:
; 'gaopdxserv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#17 so nun noch das avira log

#18 ist noch am scannen. kommt bald


hier:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 30. Januar 2009 20:11

Es wird nach 1302306 Virenstämmen gesucht.

Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Nieze0611
Computername: NIEZE

Versionsinformationen:
BUILD.DAT : 8.2.0.373 20012 Bytes 18.11.2008 09:35:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:29:38
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 07:15:34
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 14:35:16
ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 14:35:16
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 10:49:38
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22.01.2009 14:44:02
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 16:35:16
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 07:43:26
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 10:36:14
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 14:54:10
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22.01.2009 14:44:02
AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 16:06:00
AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 16:24:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 10:49:36
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 08:28:20
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 10:49:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Neues Profil01
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Premium\PROFILES\8d554ac6.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 30. Januar 2009 20:11

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!
c:\windows\system32\gaopdxcounter
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\gaopdxodlsxmnn.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.gxu
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\drivers\gaopdxfkkrpjtq.sys
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\drivers\gaopdxfyqdeqmc.sys
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\drivers\gaopdxhptlomiw.sys
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\drivers\gaopdxrmootfoq.sys
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\drivers\gaopdxtfttystp.sys
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\drivers\gaopdxuipjdetm.sys
[INFO] Die Datei ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\userdata
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '62094' Objekte überprüft, '14' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nopopup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '69' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Dokumente und Einstellungen\Nieze0611\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0576b.qua' verschoben!
C:\Dokumente und Einstellungen\Nieze0611\Desktop\Flash_Disinfector.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Generic.4084
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e45769.qua' verschoben!
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temp\tmp6.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f357b8.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Archiv>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Software>
Beginne mit der Suche in 'G:\' <HANIU>


Ende des Suchlaufs: Freitag, 30. Januar 2009 21:39
Benötigte Zeit: 1:27:23 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9006 Verzeichnisse wurden überprüft
367431 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
367424 Dateien ohne Befall
40221 Archive wurden durchsucht
2 Warnungen
3 Hinweise
62094 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden gefunden



Malware vom 31.1.09

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1708
Windows 5.1.2600 Service Pack 3

31.01.2009 10:14:02
mbam-log-2009-01-31 (10-14-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 60428
Laufzeit: 6 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Combofix 31.1.

ComboFix 09-01-21.04 - Nieze0611 2009-01-31 10:21:10.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1007.459 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Nieze0611\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 ))))))))))))))))))))))))))))))
.

2009-01-30 19:37 . 2009-01-30 19:37 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-30 19:36 . 2009-01-30 19:36 <DIR> d-------- c:\windows\ERUNT
2009-01-30 19:35 . 2009-01-30 19:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-30 13:37 . 2009-01-30 13:37 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Avira
2009-01-30 13:22 . 2009-01-30 13:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-30 06:49 . 2009-01-30 06:49 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\DoctorWeb
2009-01-30 06:15 . 2009-01-30 06:15 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Malwarebytes
2009-01-30 06:15 . 2009-01-30 06:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-30 06:15 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-30 06:15 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-08 15:35 . 2009-01-08 15:35 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-29 18:43 . 2009-01-08 14:23 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\MyPhoneExplorer
2008-12-29 18:16 . 2008-12-29 18:19 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Mobile Master
2008-12-27 20:12 . 2008-03-16 13:30 216,064 -r-hs---- c:\windows\system32\nbDX.dll
2008-12-27 20:12 . 2006-03-10 21:48 169,472 -r-hs---- c:\windows\system32\MatroskaDX.ax
2008-12-27 20:12 . 2005-11-25 20:46 161,792 -r-hs---- c:\windows\system32\RealMediaDX.ax
2008-12-27 20:12 . 2006-01-12 23:23 123,904 -r-hs---- c:\windows\system32\AVCDX.ax
2008-12-27 20:12 . 2003-11-20 23:00 54,784 -r-hs---- c:\windows\system32\RLAPEDec.ax
2008-12-27 20:12 . 2004-04-26 23:00 37,888 -r-hs---- c:\windows\system32\RLMPCDec.ax
2008-12-27 20:12 . 2007-02-21 11:47 31,232 -r-hs---- c:\windows\system32\msfDX.dll
2008-12-22 16:42 . 2008-07-21 17:11 427,328 --a------ c:\windows\system32\TXGYMailActiveX.dll
2008-12-22 16:42 . 2008-07-21 17:11 261,256 --a------ c:\windows\system32\TXGYMailCamera.dll
2008-12-21 18:11 . 2008-07-12 08:18 3,851,784 --a------ c:\windows\system32\D3DX9_39.dll
2008-12-21 18:10 . 2008-12-21 18:10 <DIR> d-------- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 18:25 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Skype
2009-01-30 12:23 --------- d-----w c:\programme\Java
2009-01-30 05:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-29 10:37 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\skypePM
2009-01-28 18:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft
2009-01-27 13:16 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-16 00:15 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\ICQ
2009-01-05 05:01 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Ahead
2009-01-03 12:25 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\muvee Technologies
2008-12-29 18:24 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared
2008-12-29 18:24 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Teleca
2008-12-23 18:57 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\temp
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-02-17 14:23 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-05-08 09:59 30,896 -c--a-w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-09-14 09:58 20,480 -c--a-w c:\programme\Gemeinsame Dateien\UninstallDrv.exe
2006-03-19 11:54 8,192 -csha-w c:\windows\o2cLicStore.bin
2005-07-14 10:31 27,648 -csha-r c:\windows\system32\AVSredirect.dll
2005-06-26 13:32 616,448 -csha-r c:\windows\system32\cygwin1.dll
2005-06-21 20:37 45,568 -csha-r c:\windows\system32\cygz.dll
2006-05-03 09:06 163,328 --sha-r c:\windows\system32\flvDX.dll
2004-01-24 22:00 70,656 -csha-r c:\windows\system32\i420vfw.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
2005-02-28 11:16 240,128 -csha-r c:\windows\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((( snapshot@2009-01-30_12.29.52.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-01-30 18:36:45 499,712 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2009-01-30 18:36:45 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-01-30 18:36:29 499,712 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2009-01-30 18:36:29 8,192 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-03-12 10:29:10 94,465 ----a-w c:\windows\system32\avsda.dll
+ 2008-05-09 11:15:47 45,376 ----a-w c:\windows\system32\drivers\avgntdd.sys
+ 2008-01-21 16:11:28 22,336 ----a-w c:\windows\system32\drivers\avgntmgr.sys
+ 2008-10-30 09:21:03 75,072 ----a-w c:\windows\system32\drivers\avipbb.sys
- 2008-04-18 13:35:59 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys
+ 2007-11-08 17:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys
+ 2009-01-31 08:50:34 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5c8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NoPopUp"="e:\sicherheit\NoPopUp 2003\nopopup.exe" [2003-12-18 234496]
"ICQ"="e:\multimedia\ICQ6.5\ICQ.exe" [2008-11-30 172792]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-08 136600]
"RoxioEngineUtility"="c:\programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" [2003-02-27 69632]
"RemoteControl"="e:\multimedia\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-15 5562368]
"iTunesHelper"="e:\multimedia\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-10 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-10 126976]
"avgnt"="e:\avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="e:\multimedia\Adobe Reader\Reader\Reader_sl.exe" [2008-10-15 39792]
"SDFix"="e:\sdfix\RunThis.bat" [2008-11-06 964661]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 c:\windows\soundman.exe]
"SMSERIAL"="sm56hlpr.exe" [2004-12-29 c:\windows\sm56hlpr.exe]
"nwiz"="nwiz.exe" [2005-04-15 c:\windows\system32\nwiz.exe]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ITD7"="e:\sicherheit\Steganos InternetSpurenvernichter\itd7.exe" [2005-01-19 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.JPGL"= jpgl.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Nieze0611^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=c:\dokumente und einstellungen\Nieze0611\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Nieze0611^Startmenü^Programme^Autostart^RC.lnk]
path=c:\dokumente und einstellungen\Nieze0611\Startmenü\Programme\Autostart\RC.lnk
backup=c:\windows\pss\RC.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2005-07-25 12:01 1397760 e:\brenner\Nero\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 c:\programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 17:22 21898024 c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-09-16 11:16 1833296 e:\sicherheit\Spybot - Search & Destroy\TeaTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\rundll32.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Multimedia\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gadu-Gadu\\gg.exe"=
"e:\\Multimedia\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7876:TCP"= 7876:TCPpLive
"8725:UDP"= 8725:UDPpLive

R0 a320raid;a320raid;c:\windows\system32\drivers\a320raid.sys [2005-03-16 258939]
R0 iteraid;iteraid;c:\windows\system32\drivers\iteraid.sys [2005-03-16 24971]
R0 MegaIDE;MegaIDE;c:\windows\system32\drivers\megaide.sys [2005-03-16 157169]
R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [2007-12-23 15187]
R0 SiSRaid1;SiSRaid1;c:\windows\system32\drivers\sisraid1.sys [2005-03-16 46464]
R0 viapdsk;viapdsk;c:\windows\system32\drivers\viapdsk.sys [2005-03-16 29184]
R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2008-01-03 148864]
R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [2007-12-23 15571]
R4 AntiVirMailService;Avira AntiVir Premium MailGuard;e:\avira\AntiVir PersonalEdition Premium\avmailc.exe [2009-01-30 164097]
R4 antivirwebservice;Avira AntiVir Premium WebGuard;e:\avira\AntiVir PersonalEdition Premium\avwebgrd.exe [2009-01-30 258305]
R4 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;e:\avira\AntiVir PersonalEdition Premium\avesvc.exe [2009-01-30 41217]
S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [2006-07-07 122752]
S3 danceflt;XboxCtrl_filt_Service;c:\windows\system32\drivers\danceflt.sys [2006-08-17 30775]
S3 DCamUSBNW802;Mustek Wcam 300;c:\windows\system32\drivers\pcam.sys [2006-03-31 265904]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\8.tmp --> c:\windows\system32\8.tmp [?]
S3 SDTHelper;Helper driver for SDT-Tool;\??\c:\dokume~1\NIEZE0~1\LOKALE~1\Temp\Rar$EX00.734\sdthlpr.sys --> c:\dokume~1\NIEZE0~1\LOKALE~1\Temp\Rar$EX00.734\sdthlpr.sys [?]
S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTIGOSp50.sys --> c:\windows\system32\Drivers\SPOTIGOSp50.sys [?]
S3 USBSER34;USBSER34;c:\windows\system32\drivers\USBSER34.SYS [2008-07-09 37456]
.
Inhalt des "geplante Tasks" Ordners

2009-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-01-31 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 17:39]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d
IE: Nach Microsoft &Excel exportieren - e:\system\OFFICE~1\OFFICE11\EXCEL.EXE/3000
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - qtl
FF - component: e:\internet\Mozilla\components\iamfamous.dll
FF - plugin: e:\multimedia\Adobe Reader\Reader\browser\nppdf32.dll
FF - plugin: e:\multimedia\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 10:21:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
"imagepath"="\systemroot\system32\drivers\gaopdxrmootfoq.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\8.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ee,a6,cb,f8,9e,18,cb,63,d8,1b,fa,5a,34,00,0a,8b,0b,74,da,e3,9c,28,1f,
d7,63,de,0d,3c,69,16,96,e0,fc,4b,7e,79,9a,ab,c2,21,05,f2,05,3b,fe,78,1c,a2,\
"??"=hex:e6,88,11,17,53,2c,a7,12,69,0d,da,38,fe,79,51,e0

[HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\License information*]
"datasecu"=hex:ba,94,57,fb,cb,f7,86,3e,8b,1e,4a,0d,11,4f,51,53,3a,04,c4,63,17,
88,29,06,f3,00,83,b3,0f,08,65,f1,5f,4a,60,ac,c3,3b,cf,75,6e,c7,db,82,64,4d,\
"rkeysecu"=hex:ee,e8,1b,cc,d3,9e,08,14,02,33,22,7d,e3,80,ad,cb

[HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Zepter Software\RegLib*cc815f5a\CloneDVD2/2]
"1"=dword:4464666c
"2"=dword:447763c2

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=expand:"\\systemroot\\system32\\drivers\\gaopdxrmootfoq.sys"
"group"="file system"
"userdata"=dword:ffffffff
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(980)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2009-01-31 10:24:10
ComboFix-quarantined-files.txt 2009-01-31 09:24:06
ComboFix2.txt 2009-01-30 16:12:51
ComboFix3.txt 2009-01-30 16:08:19
ComboFix4.txt 2009-01-30 11:31:02

Vor Suchlauf: 1.033.920.512 Bytes frei
Nach Suchlauf: 1,019,834,368 Bytes frei

251 --- E O F --- 2009-01-15 17:05:14


HIJackThis 31.1.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:25:37, on 31.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Brenner\Nero\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
E:\Multimedia\PowerDVD\PDVDServ.exe
E:\Multimedia\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\hkcmd.exe
E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe
E:\Sicherheit\NoPopUp 2003\nopopup.exe
E:\Multimedia\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
E:\Internet\Mozilla\firefox.exe
C:\Dokumente und Einstellungen\Nieze0611\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\Multimedia\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "E:\Multimedia\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] E:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [NoPopUp] E:\Sicherheit\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [ICQ] "E:\Multimedia\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\System\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\System\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214574115984
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Brenner\Nero\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 11069 bytes

#19 ^du hast rootkits auf deinem system!
daher sind einige scans nötig, bei denen ist unbedingt zu beachten!!!
1. avira muss ausgeschalten sein!
2. alle weitern programme müssen ausgeschalten sein!
3. die verbindung zum internet muss getrennt sein. also wlan aus bzw netzwerkkabel raus
4. zwischen den scans und der nächsten anweisung soll kein neustart erfolgen
http://virus-protect.org/rootkitscanner.html
besuchen die liste der scanner die ich poste runterladen, anleitung drucken oder von deinm andern pc öffnen und nacheinander ausführen:
Blacklight
catchme
^poste die logs

#20 hier die logs der rootkit scans

01/31/09 13:26:53 [Info]: BlackLight Engine 2.2.1092 initialized
01/31/09 13:26:53 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/31/09 13:26:53 [Note]: 7019 4
01/31/09 13:26:53 [Note]: 7005 0
01/31/09 13:26:55 [Note]: 7006 0
01/31/09 13:26:55 [Note]: 7011 1680
01/31/09 13:26:55 [Note]: 7035 0
01/31/09 13:26:55 [Note]: 7026 0
01/31/09 13:26:55 [Note]: 7026 0
01/31/09 13:26:57 [Note]: FSRAW library version 1.7.1024
01/31/09 13:27:09 [Note]: 7007 0



HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:14, on 31.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Brenner\Nero\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Avira\AntiVir PersonalEdition Premium\sched.exe
E:\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Multimedia\PowerDVD\PDVDServ.exe
E:\Multimedia\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\hkcmd.exe
E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe
E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe
E:\Sicherheit\NoPopUp 2003\nopopup.exe
E:\Multimedia\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Internet\Mozilla\firefox.exe
C:\Dokumente und Einstellungen\Nieze0611\Desktop\HJT.exe
E:\Internet\Mozilla\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\Multimedia\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "E:\Multimedia\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] E:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [NoPopUp] E:\Sicherheit\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [ICQ] "E:\Multimedia\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\System\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\System\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214574115984
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Brenner\Nero\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 11137 bytes



catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\GEARAspiWDMsys

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\drivers\gaopdxfkkrpjtq.sys 77824 bytes
C:\WINDOWS\system32\drivers\gaopdxfyqdeqmc.sys 77824 bytes
C:\WINDOWS\system32\drivers\gaopdxhptlomiw.sys 77824 bytes
C:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys 77824 bytes
C:\WINDOWS\system32\drivers\gaopdxtfttystp.sys 77824 bytes
C:\WINDOWS\system32\drivers\gaopdxuipjdetm.sys 77824 bytes
C:\WINDOWS\system32\gaopdxcounter 8 bytes
C:\WINDOWS\system32\gaopdxodlsxmnn.dll 57344 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 8



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-31 13:37:23
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT spdo.sys ZwCreateKey [0xF73B30E0]
SSDT F7D0539C ZwCreateThread
SSDT spdo.sys ZwEnumerateKey [0xF73D1CA2]
SSDT spdo.sys ZwEnumerateValueKey [0xF73D2030]
SSDT spdo.sys ZwOpenKey [0xF73B30C0]
SSDT F7D05388 ZwOpenProcess
SSDT F7D0538D ZwOpenThread
SSDT spdo.sys ZwQueryKey [0xF73D2108]
SSDT spdo.sys ZwQueryValueKey [0xF73D1F88]
SSDT spdo.sys ZwSetValueKey [0xF73D219A]
SSDT F7D05397 ZwTerminateProcess
SSDT F7D05392 ZwWriteVirtualMemory

INT 0x62 ? 86D66BF8
INT 0x63 ? 8629BF00
INT 0x82 ? 86D66BF8
INT 0xA4 ? 8629BF00
INT 0xB4 ? 8629BF00

Code 85E9CA28 ZwFlushInstructionCache
Code 860FF47E IofCallDriver
Code 8552A1D6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 860FF483
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 8552A1DB
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC4 5 Bytes JMP 85E9CA2C
? spdo.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F62E88AC 5 Bytes JMP 8629B4E0

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73B4040] spdo.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73B413C] spdo.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73B40BE] spdo.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73B47FC] spdo.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73B46D2] spdo.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73C4048] spdo.sys
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86D531F8
Device \FileSystem\Fastfat \FatCdrom 862BD1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{4CD524BB-7EDB-488E-AF47-5F8AEB818EBD} 855291F8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 862A5500
Device \Driver\usbehci \Device\USBPDO-1 862A6500
Device \Driver\usbuhci \Device\USBPDO-2 862A5500
Device \Driver\usbuhci \Device\USBPDO-3 862A5500
Device \Driver\usbuhci \Device\USBPDO-4 862A5500
Device \Driver\Ftdisk \Device\HarddiskVolume1 86D671F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86D671F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86D671F8
Device \Driver\USBSTOR \Device\000000c0 85460500
Device \Driver\USBSTOR \Device\000000c1 85460500
Device \Driver\NetBT \Device\NetBt_Wins_Export 855291F8
Device \Driver\NetBT \Device\NetbiosSmb 855291F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{CEE9F616-DEF2-4406-B49F-486A42E3C86A} 855291F8
Device \Driver\usbuhci \Device\USBFDO-0 862A5500
Device \Driver\usbuhci \Device\USBFDO-1 862A5500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 855211F8
Device \Driver\usbuhci \Device\USBFDO-2 862A5500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 855211F8
Device \Driver\usbuhci \Device\USBFDO-3 862A5500
Device \Driver\usbehci \Device\USBFDO-4 862A6500
Device \Driver\Ftdisk \Device\FtControl 86D671F8
Device \FileSystem\Fastfat \Fat 862BD1F8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxrmootfoq.sys (*** hidden *** ) AA82A000-AA854000 (172032 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrmootfoq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrmootfoq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxodlsxmnn.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1264045278
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1367974553
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x3D 0xAB 0x74 0xED ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x0E 0xAA 0x4E 0x69 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xA1 0x79 0x92 0x18 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5B 0x88 0x1D 0xEF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 E:\Brenner\Alcohol 120%\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x2B 0x25 0x02 0x6F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xFB 0x05 0xF8 0x22 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xA1 0x79 0x92 0x18 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0C 0xD5 0x95 0xB7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrmootfoq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrmootfoq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxodlsxmnn.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x3D 0xAB 0x74 0xED ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x0E 0xAA 0x4E 0x69 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xA1 0x79 0x92 0x18 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5B 0x88 0x1D 0xEF ...

---- EOF - GMER 1.0.14 ----

#21 gmer sollte löschen können, tu dies bitte. danach starte neu und poste auch mal ein blacklight log

#22 01/31/09 14:14:33 [Info]: BlackLight Engine 2.2.1092 initialized
01/31/09 14:14:33 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/31/09 14:14:33 [Note]: 7019 4
01/31/09 14:14:33 [Note]: 7005 0
01/31/09 14:14:37 [Note]: 7006 0
01/31/09 14:14:37 [Note]: 7011 1664
01/31/09 14:14:37 [Note]: 7035 0
01/31/09 14:14:37 [Note]: 7026 0
01/31/09 14:14:37 [Note]: 7026 0
01/31/09 14:14:41 [Note]: FSRAW library version 1.7.1024
01/31/09 14:19:58 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxcounter
01/31/09 14:19:58 [Note]: 10002 2
01/31/09 14:19:58 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxodlsxmnn.dll
01/31/09 14:19:58 [Note]: 10002 2
01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfyqdeqmc.sys
01/31/09 14:20:09 [Note]: 10002 2
01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxtfttystp.sys
01/31/09 14:20:09 [Note]: 10002 2
01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfkkrpjtq.sys
01/31/09 14:20:09 [Note]: 10002 2
01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxhptlomiw.sys
01/31/09 14:20:09 [Note]: 10002 2
01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys
01/31/09 14:20:09 [Note]: 10002 2
01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxuipjdetm.sys
01/31/09 14:20:09 [Note]: 10002 2
01/31/09 14:24:14 [Note]: 7006 0
01/31/09 14:24:14 [Note]: 7011 1664
01/31/09 14:24:14 [Note]: 7026 0
01/31/09 14:24:14 [Note]: 7026 0
01/31/09 14:24:14 [Note]: FSRAW library version 1.7.1024
01/31/09 14:24:22 [Note]: 10002 2
01/31/09 14:24:22 [Note]: 10002 2
01/31/09 14:24:22 [Note]: 10002 2
01/31/09 14:24:22 [Note]: 10002 2
01/31/09 14:24:22 [Note]: 10002 2
01/31/09 14:24:22 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxuipjdetm.sys
01/31/09 14:24:22 [Note]: 10002 2
01/31/09 14:24:22 [Note]: 7006 0
01/31/09 14:24:22 [Note]: 7011 1664
01/31/09 14:24:22 [Note]: 7026 0
01/31/09 14:24:22 [Note]: 7026 0
01/31/09 14:24:22 [Note]: FSRAW library version 1.7.1024
01/31/09 14:24:30 [Note]: 10002 2
01/31/09 14:24:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxtfttystp.sys
01/31/09 14:24:30 [Note]: 10002 2
01/31/09 14:24:30 [Note]: 10002 2
01/31/09 14:24:30 [Note]: 10002 2
01/31/09 14:24:30 [Note]: 10002 2
01/31/09 14:24:30 [Note]: 10002 2
01/31/09 14:24:30 [Note]: 7006 0
01/31/09 14:24:30 [Note]: 7011 1664
01/31/09 14:24:30 [Note]: 7026 0
01/31/09 14:24:30 [Note]: 7026 0
01/31/09 14:24:30 [Note]: FSRAW library version 1.7.1024
01/31/09 14:24:38 [Note]: 10002 2
01/31/09 14:24:38 [Note]: 10002 2
01/31/09 14:24:38 [Note]: 10002 2
01/31/09 14:24:38 [Note]: 10002 2
01/31/09 14:24:38 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys
01/31/09 14:24:38 [Note]: 10002 2
01/31/09 14:24:38 [Note]: 10002 2
01/31/09 14:24:38 [Note]: 7006 0
01/31/09 14:24:38 [Note]: 7011 1664
01/31/09 14:24:39 [Note]: 7026 0
01/31/09 14:24:39 [Note]: 7026 0
01/31/09 14:24:39 [Note]: FSRAW library version 1.7.1024
01/31/09 14:24:49 [Note]: 10002 2
01/31/09 14:24:49 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxodlsxmnn.dll
01/31/09 14:24:49 [Note]: 10002 2
01/31/09 14:24:49 [Note]: 7006 0
01/31/09 14:24:49 [Note]: 7011 1664
01/31/09 14:24:49 [Note]: 7026 0
01/31/09 14:24:49 [Note]: 7026 0
01/31/09 14:24:49 [Note]: FSRAW library version 1.7.1024
01/31/09 14:24:57 [Note]: 10002 2
01/31/09 14:24:57 [Note]: 10002 2
01/31/09 14:24:57 [Note]: 10002 2
01/31/09 14:24:57 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxhptlomiw.sys
01/31/09 14:24:57 [Note]: 10002 2
01/31/09 14:24:57 [Note]: 10002 2
01/31/09 14:24:57 [Note]: 10002 2
01/31/09 14:24:57 [Note]: 7006 0
01/31/09 14:24:57 [Note]: 7011 1664
01/31/09 14:24:58 [Note]: 7026 0
01/31/09 14:24:58 [Note]: 7026 0
01/31/09 14:24:58 [Note]: FSRAW library version 1.7.1024
01/31/09 14:25:12 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfyqdeqmc.sys
01/31/09 14:25:12 [Note]: 10002 2
01/31/09 14:25:12 [Note]: 10002 2
01/31/09 14:25:12 [Note]: 10002 2
01/31/09 14:25:12 [Note]: 10002 2
01/31/09 14:25:12 [Note]: 10002 2
01/31/09 14:25:12 [Note]: 10002 2
01/31/09 14:25:12 [Note]: 7006 0
01/31/09 14:25:12 [Note]: 7011 1664
01/31/09 14:25:12 [Note]: 7026 0
01/31/09 14:25:12 [Note]: 7026 0
01/31/09 14:25:12 [Note]: FSRAW library version 1.7.1024
01/31/09 14:25:24 [Note]: 10002 2
01/31/09 14:25:24 [Note]: 10002 2
01/31/09 14:25:24 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfkkrpjtq.sys
01/31/09 14:25:24 [Note]: 10002 2
01/31/09 14:25:24 [Note]: 10002 2
01/31/09 14:25:24 [Note]: 10002 2
01/31/09 14:25:24 [Note]: 10002 2
01/31/09 14:25:24 [Note]: 7006 0
01/31/09 14:25:24 [Note]: 7011 1664
01/31/09 14:25:24 [Note]: 7026 0
01/31/09 14:25:24 [Note]: 7026 0
01/31/09 14:25:24 [Note]: FSRAW library version 1.7.1024
01/31/09 14:25:35 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxcounter
01/31/09 14:25:35 [Note]: 10002 2
01/31/09 14:25:35 [Note]: 10002 2
01/31/09 14:25:42 [Note]: 7007 0

#23 hallo, mit blacklight renamen, dann die .ren-dateien löschen windowssuche *.ren suchen. starte den pc neu, dann noch mal blacklight und chatchme verwenden

#24 Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 31. Januar 2009 16:05

Es wird nach 1302306 Virenstämmen gesucht.

Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Nieze0611
Computername: NIEZE

Versionsinformationen:
BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:29:38
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 07:15:34
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 14:35:16
ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 14:35:16
Engineversion : 8.2.0.70
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 14:03:21
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 31.01.2009 14:03:20
AESCN.DLL : 8.1.1.6 127348 Bytes 31.01.2009 14:03:17
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 07:43:26
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 10:36:14
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 14:54:10
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 31.01.2009 14:03:15
AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 16:06:00
AEGEN.DLL : 8.1.1.12 328053 Bytes 31.01.2009 14:03:07
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 10:49:36
AECORE.DLL : 8.1.6.3 176501 Bytes 31.01.2009 14:03:05
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 10:49:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Premium\PROFILES\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Samstag, 31. Januar 2009 16:05

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Microsoft\Protected Storage System Provider\S-1-5-21-3713006376-3815184739-3230517182-1006\data
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\License information\datasecu
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\License information\rkeysecu
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Zepter Software\RegLib\CloneDVD2/2\1
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Zepter Software\RegLib\CloneDVD2/2\2
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\userdata
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\userdata
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '533353' Objekte überprüft, '17' versteckte Objekte wurden gefunden.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:' <System>
C:\
AdminCheck2.txt
AUTOEXEC.BAT
Boot.bak
boot.ini
bootfont.bin
cmldr
ComboFix.txt
CONFIG.SYS
crashAddress.txt
delunins.bat
dvb.GRF
dvb4.GRF
findaudio.log
gmail_debug_headers1.txt
[0] Archivtyp: MIME
--> file0.html
gmail_debug_headers2.txt
[0] Archivtyp: MIME
--> file0.html
gmail_debug_headers3.txt
[0] Archivtyp: MIME
--> file0.html
gmail_debug_headers4.txt
[0] Archivtyp: MIME
--> file0.html
gmail_debug_response1.txt
gmail_debug_response2.txt
gmail_debug_response3.txt
gmail_debug_response4.txt
IO.SYS
Jardimdigital_KEYS.txt
LGSInst.Log
MSDOS.SYS
NTDETECT.COM
ntldr
REQUEST_OEMRESET_ENDUSER
test.log
USER
winport.sys
XmpegLog.txt
_audioscrobbler.log
C:\514\
AM32.Z
DRIVER.Z
MAP.Z
PCCUO.DLL
PRODUCT.DAT
programs.z
SETUP.EXE
SETUP.INI
SETUP.INS
SETUP.SCR
SETUPDLL.DLL
STRING.TAB
TWAIN.Z
UNINST.Z
USBSCAN.INF
USBSCAN.IN_
USBSCAN.SYS
USCANNER.SYS
WINSYS.Z
_INST32I.EX_
_ISDEL.EXE
_SETUP.DLL
_SETUP.LIB
~~~RUNCD.IN_
C:\autorun.inf\
lpt3.This folder was created by Flash_Disinfector
C:\cabs\PhilipsPA49\
PHILIPS-SDVD8441-PA49.EXE
readme.txt
C:\cmdcons\
1394BUS.SY_
[0] Archivtyp: CAB (Microsoft)
--> 1394bus.sys
1394VDBG.SY_
[0] Archivtyp: CAB (Microsoft)
--> 1394vdbg.sys
ABP480N5.SY_
[0] Archivtyp: CAB (Microsoft)
--> abp480n5.sys
ACPI.SY_
[0] Archivtyp: CAB (Microsoft)
--> acpi.sys
ACPIEC.SY_
[0] Archivtyp: CAB (Microsoft)
--> acpiec.sys
ADPU160M.SY_
[0] Archivtyp: CAB (Microsoft)
--> adpu160m.sys
AHA154X.SY_
[0] Archivtyp: CAB (Microsoft)
--> aha154x.sys
AIC78U2.SY_
[0] Archivtyp: CAB (Microsoft)
--> aic78u2.sys
AIC78XX.SY_
[0] Archivtyp: CAB (Microsoft)
--> aic78xx.sys
ALIIDE.SY_
[0] Archivtyp: CAB (Microsoft)
--> aliide.sys
AMSINT.SY_
[0] Archivtyp: CAB (Microsoft)
--> amsint.sys
ASC.SY_
[0] Archivtyp: CAB (Microsoft)
--> asc.sys
ASC3350P.SY_
[0] Archivtyp: CAB (Microsoft)
--> asc3350p.sys
ASC3550.SY_
[0] Archivtyp: CAB (Microsoft)
--> asc3550.sys
ATAPI.SY_
[0] Archivtyp: CAB (Microsoft)
--> atapi.sys
autochk.exe
autofmt.exe
BIOSINFO.INF
BOOTFONT.BIN
bootsect.dat
BOOTVID.DL_
[0] Archivtyp: CAB (Microsoft)
--> bootvid.dll
CBIDF2K.SY_
[0] Archivtyp: CAB (Microsoft)
--> cbidf2k.sys
CD20XRNT.SY_
[0] Archivtyp: CAB (Microsoft)
--> cd20xrnt.sys
CDFS.SY_
[0] Archivtyp: CAB (Microsoft)
--> cdfs.sys
CDROM.SY_
[0] Archivtyp: CAB (Microsoft)
--> cdrom.sys
CLASSPNP.SY_
[0] Archivtyp: CAB (Microsoft)
--> classpnp.sys
CMDIDE.SY_
[0] Archivtyp: CAB (Microsoft)
--> cmdide.sys
CPQARRAY.SY_
[0] Archivtyp: CAB (Microsoft)
--> cpqarray.sys
C_1252.NL_
[0] Archivtyp: CAB (Microsoft)
--> c_1252.nls
C_850.NL_
[0] Archivtyp: CAB (Microsoft)
--> c_850.nls
DAC2W2K.SY_
[0] Archivtyp: CAB (Microsoft)
--> dac2w2k.sys
DAC960NT.SY_
[0] Archivtyp: CAB (Microsoft)
--> dac960nt.sys
DISK.SY_
[0] Archivtyp: CAB (Microsoft)
--> disk.sys
DISK101
DISK102
DISK103
DISK104
DISK105
DISK106
DMBOOT.SY_
[0] Archivtyp: CAB (Microsoft)
--> dmboot.sys
DMIO.SY_
[0] Archivtyp: CAB (Microsoft)
--> dmio.sys
DMLOAD.SY_
[0] Archivtyp: CAB (Microsoft)
--> dmload.sys
DPTI2O.SY_
[0] Archivtyp: CAB (Microsoft)
--> dpti2o.sys
DRVMAIN.SDB
FASTFAT.SY_
[0] Archivtyp: CAB (Microsoft)
--> fastfat.sys
FDC.SY_
[0] Archivtyp: CAB (Microsoft)
--> fdc.sys
FLPYDISK.SY_
[0] Archivtyp: CAB (Microsoft)
--> flpydisk.sys
FTDISK.SY_
[0] Archivtyp: CAB (Microsoft)
--> ftdisk.sys
HAL.DL_
[0] Archivtyp: CAB (Microsoft)
--> hal.dll
HALAACPI.DL_
[0] Archivtyp: CAB (Microsoft)
--> halaacpi.dll
HALACPI.DL_
[0] Archivtyp: CAB (Microsoft)
--> halacpi.dll
HALAPIC.DL_
[0] Archivtyp: CAB (Microsoft)
--> halapic.dll
HALMACPI.DL_
[0] Archivtyp: CAB (Microsoft)
--> halmacpi.dll
HALMPS.DL_
[0] Archivtyp: CAB (Microsoft)
--> halmps.dll
HALSP.DL_
[0] Archivtyp: CAB (Microsoft)
--> halsp.dll
HIDCLASS.SY_
[0] Archivtyp: CAB (Microsoft)
--> hidclass.sys
HIDPARSE.SY_
[0] Archivtyp: CAB (Microsoft)
--> hidparse.sys
HIDUSB.SY_
[0] Archivtyp: CAB (Microsoft)
--> hidusb.sys
HPN.SY_
[0] Archivtyp: CAB (Microsoft)
--> hpn.sys
I2OMGMT.SY_
[0] Archivtyp: CAB (Microsoft)
--> i2omgmt.sys
I2OMP.SY_
[0] Archivtyp: CAB (Microsoft)
--> i2omp.sys
I8042PRT.SY_
[0] Archivtyp: CAB (Microsoft)
--> i8042prt.sys
INI910U.SY_
[0] Archivtyp: CAB (Microsoft)
--> ini910u.sys
INTELIDE.SY_
[0] Archivtyp: CAB (Microsoft)
--> intelide.sys
ISAPNP.SY_
[0] Archivtyp: CAB (Microsoft)
--> isapnp.sys
KBDA1.DLL
KBDA2.DLL
KBDA3.DLL
KBDAL.DLL
KBDARME.DLL
KBDARMW.DLL
KBDAZE.DLL
KBDAZEL.DLL
KBDBE.DLL
KBDBLR.DLL
KBDBR.DLL
KBDBU.DLL
KBDCA.DLL
KBDCLASS.SY_
[0] Archivtyp: CAB (Microsoft)
--> kbdclass.sys
KBDCR.DLL
KBDCZ.DLL
KBDCZ1.DLL
KBDCZ2.DLL
KBDDA.DLL
KBDDIV1.DLL
KBDDIV2.DLL
KBDDV.DLL
KBDES.DLL
KBDEST.DLL
KBDFA.DLL
KBDFC.DLL
KBDFI.DLL
KBDFR.DLL
KBDGAE.DLL
KBDGEO.DLL
KBDGKL.DLL
KBDGR.DLL
KBDGR1.DLL
KBDHE.DLL
KBDHE220.DLL
KBDHE319.DLL
KBDHEB.DLL
KBDHELA2.DLL
KBDHELA3.DLL
KBDHEPT.DLL
KBDHID.SY_
[0] Archivtyp: CAB (Microsoft)
--> kbdhid.sys
KBDHU.DLL
KBDHU1.DLL
KBDIC.DLL
KBDINDEV.DLL
KBDINGUJ.DLL
KBDINHIN.DLL
KBDINKAN.DLL
KBDINMAR.DLL
KBDINPUN.DLL
KBDINTAM.DLL
KBDINTEL.DLL
KBDIR.DLL
KBDIT.DLL
KBDIT142.DLL
KBDKAZ.DLL
KBDKYR.DLL
KBDLA.DLL
KBDLT.DLL
KBDLT1.DLL
KBDLV.DLL
KBDLV1.DLL
KBDMON.DLL
KBDNE.DLL
KBDNEC.DLL
KBDNO.DLL
KBDPL.DLL
KBDPL1.DLL
KBDPO.DLL
KBDRO.DLL
KBDRU.DLL
KBDRU1.DLL
KBDSF.DLL
KBDSG.DLL
KBDSL.DLL
KBDSL1.DLL
KBDSP.DLL
KBDSW.DLL
KBDSYR1.DLL
KBDSYR2.DLL
KBDTAT.DLL
KBDTH0.DLL
KBDTH1.DLL
KBDTH2.DLL
KBDTH3.DLL
KBDTUF.DLL
KBDTUQ.DLL
KBDUK.DLL
KBDUR.DLL
KBDURDU.DLL
KBDUS.DLL
KBDUSL.DLL
KBDUSR.DLL
KBDUSX.DLL
KBDUZB.DLL
KBDVNTC.DLL
KBDYCC.DLL
KBDYCL.DLL
KD1394.DL_
[0] Archivtyp: CAB (Microsoft)
--> kd1394.dll
KDCOM.DL_
[0] Archivtyp: CAB (Microsoft)
--> kdcom.dll
KSECDD.SYS
LBRTFDC.SY_
[0] Archivtyp: CAB (Microsoft)
--> lbrtfdc.sys
L_INTL.NL_
[0] Archivtyp: CAB (Microsoft)
--> l_intl.nls
migrate.inf
MOUNTMGR.SY_
[0] Archivtyp: CAB (Microsoft)
--> mountmgr.sys
MRAID35X.SY_
[0] Archivtyp: CAB (Microsoft)
--> mraid35x.sys
NTDETECT.COM
NTFS.SYS
NTKRNLMP.EX_
[0] Archivtyp: CAB (Microsoft)
--> ntkrnlmp.exe
OHCI1394.SY_
[0] Archivtyp: CAB (Microsoft)
--> ohci1394.sys
OPRGHDLR.SY_
[0] Archivtyp: CAB (Microsoft)
--> oprghdlr.sys
PARTMGR.SY_
[0] Archivtyp: CAB (Microsoft)
--> partmgr.sys
PCI.SY_
[0] Archivtyp: CAB (Microsoft)
--> pci.sys
PCIIDE.SY_
[0] Archivtyp: CAB (Microsoft)
--> pciide.sys
PCIIDEX.SY_
[0] Archivtyp: CAB (Microsoft)
--> pciidex.sys
PCMCIA.SY_
[0] Archivtyp: CAB (Microsoft)
--> pcmcia.sys
PERC2.SY_
[0] Archivtyp: CAB (Microsoft)
--> perc2.sys
PERC2HIB.SY_
[0] Archivtyp: CAB (Microsoft)
--> perc2hib.sys
QL1080.SY_
[0] Archivtyp: CAB (Microsoft)
--> ql1080.sys
QL10WNT.SY_
[0] Archivtyp: CAB (Microsoft)
--> ql10wnt.sys
QL12160.SY_
[0] Archivtyp: CAB (Microsoft)
--> ql12160.sys
QL1240.SY_
[0] Archivtyp: CAB (Microsoft)
--> ql1240.sys
QL1280.SY_
[0] Archivtyp: CAB (Microsoft)
--> ql1280.sys
RAMDISK.SY_
[0] Archivtyp: CAB (Microsoft)
--> ramdisk.sys
SBP2PORT.SY_
[0] Archivtyp: CAB (Microsoft)
--> sbp2port.sys
SCSIPORT.SY_
[0] Archivtyp: CAB (Microsoft)
--> scsiport.sys
SERENUM.SY_
[0] Archivtyp: CAB (Microsoft)
--> serenum.sys
SERIAL.SY_
[0] Archivtyp: CAB (Microsoft)
--> serial.sys
SETUPDD.SY_
[0] Archivtyp: CAB (Microsoft)
--> setupdd.sys
SETUPLDR.BIN
SETUPREG.HIV
SFLOPPY.SY_
[0] Archivtyp: CAB (Microsoft)
--> sfloppy.sys
SLIP.SY_
[0] Archivtyp: CAB (Microsoft)
--> slip.sys
SPARROW.SY_
[0] Archivtyp: CAB (Microsoft)
--> sparrow.sys
SPCMDCON.SYS
SPDDLANG.SY_
[0] Archivtyp: CAB (Microsoft)
--> spddlang.sys
STREAMIP.SY_
[0] Archivtyp: CAB (Microsoft)
--> streamip.sys
SYMC810.SY_
[0] Archivtyp: CAB (Microsoft)
--> symc810.sys
SYMC8XX.SY_
[0] Archivtyp: CAB (Microsoft)
--> symc8xx.sys
SYM_HI.SY_
[0] Archivtyp: CAB (Microsoft)
--> sym_hi.sys
SYM_U3.SY_
[0] Archivtyp: CAB (Microsoft)
--> sym_u3.sys
TFFSPORT.SY_
[0] Archivtyp: CAB (Microsoft)
--> tffsport.sys
TOSIDE.SY_


Ende des Suchlaufs: Samstag, 31. Januar 2009 16:13
Benötigte Zeit: 07:33 Minute(n)

Der Suchlauf wurde abgebrochen!

6 Verzeichnisse wurden überprüft
364 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
364 Dateien ohne Befall
96 Archive wurden durchsucht
0 Warnungen
0 Hinweise
533353 Objekte wurden beim Rootkitscan durchsucht
17 Versteckte Objekte wurden gefunden

#25 Hallo, lad dir wieder avenger erstelle ein script:
registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys
poste das inhalt vom log

#26 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#27 ok sieht gut aus, rutner mit avenger + backups lass nun kaspersky online scan laufen.
www.kaspersky.com/de/virusscanner - 22k -
gesammter pc log posten

#28 -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Januar 2009 19:36:15
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 31/01/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1732766
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 93006
Viren gefunden: 3
Infizierte Objekte gefunden: 10
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:10:39

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\ICQ\300082004\Messages.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\ICQ\300082004\Owner.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Microsoft\MSNLiveFav\LiveFavorites.xml Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temp\etilqs_NgYXKpOc8pymFDjWudqn Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temp\JET73D3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nieze0611\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\gaopdxodlsxmnn.dll.ren Infizierte Objekte: Rootkit.Win32.TDSS.gxu übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_2f8.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen
D:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
D:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
D:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
D:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen
E:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
E:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
E:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
E:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{1D3C8050-7D3C-46A7-B8EB-8A6D325A41B4}\RP0\A0000036.dll Infizierte Objekte: Rootkit.Win32.TDSS.eyj übersprungen
E:\System Volume Information\_restore{1D3C8050-7D3C-46A7-B8EB-8A6D325A41B4}\RP0\change.log Das Objekt ist gesperrt übersprungen
G:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#29 avenger:
Files to delete:
C:\WINDOWS\system32\gaopdxodlsxmnn.dll.ren
D:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com
D:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com
D:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com
D:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com
E:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com
E:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com
E:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com
E:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com
log posten danach neu starten dann f-secure laufen lassen.

#30 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\gaopdxodlsxmnn.dll.ren" deleted successfully.
File "D:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com" deleted successfully.
File "D:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com" deleted successfully.
File "D:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com" deleted successfully.
File "D:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com" deleted successfully.
File "E:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com" deleted successfully.
File "E:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com" deleted successfully.
File "E:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com" deleted successfully.
File "E:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


F-Secure 1.2.

Scanning Report
Saturday, January 31, 2009 20:25:49 - 02:25:56

Computer name: NIEZE
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\
Result: 2 malware found
TrackingCookie.2o7 (spyware)

* System

TrackingCookie.Atwola (spyware)

* System

Statistics
Scanned:

* Files: 24633
* System: 4007
* Not scanned: 12

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 2
* Submitted: 0

Files not scanned:

* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\LOKALE EINSTELLUNGEN\TEMP\ETILQS_1T0EISNJ1P3XS9HPGVMU
* C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_NIEZE0611\2236
* C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_NIEZE0611\3264
* C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB
* C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\ANWENDUNGSDATEN\ICQ\300082004\MESSAGES.MDB
* C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\ANWENDUNGSDATEN\ICQ\300082004\OWNER.MDB

Options
Scanning engines:

* F-Secure USS: 3.0.0
* F-Secure Hydra: 3.6.8511, 2009-01-31
* F-Secure AVP: 7.0.171, 2009-01-31
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure Blacklight: 0.0.0

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.


HJT 1.2.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:16:51, on 01.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Brenner\Nero\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Avira\AntiVir PersonalEdition Premium\sched.exe
E:\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Multimedia\PowerDVD\PDVDServ.exe
E:\Multimedia\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\hkcmd.exe
E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe
E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe
E:\Sicherheit\NoPopUp 2003\nopopup.exe
E:\Multimedia\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Dokumente und Einstellungen\Nieze0611\Desktop\HJT.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\Internet\Mozilla\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\Multimedia\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "E:\Multimedia\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] E:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [NoPopUp] E:\Sicherheit\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [ICQ] "E:\Multimedia\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\System\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\System\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214574115984
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Brenner\Nero\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 11412 bytes