rundll fehler, redirect und popups

#0
15.02.2009, 12:31
Member

Beiträge: 18
#1 Hallo Forianer,

ich habe seit kurzem das Problem, dass ich beim Start von Windows und dem IE7 Fehler bekomme, dass rundll unterschiedliche Dinge nicht laden kann - z.B. grooveutil.dll. Ausserdem Habe redirects und kann z.B. weder Updates für Adaware herunterladen (über IE lässt sich die *.zip nicht downloaden) noch kann ich z.B. auf google.de/products öffenen und werde immer auf die com-Seite redirected...
Mit Spybot kann ich keine Spyware finden, Hijackthis brachte auch in der automatischen Auswertungs des logs keine Auffälligkeiten - zumindest, soweit ich das beurteilen kann.

Kann mir jemand helfen?

Danke und Grüße,
Andreas
Seitenanfang Seitenende
15.02.2009, 12:33
Member

Beiträge: 3716
#2 Hallo und willkommen an Board:
http://board.protecus.de/t23188.htm
abarbeiten und logs posten bitte
Seitenanfang Seitenende
15.02.2009, 12:47
Member

Themenstarter

Beiträge: 18
#3 Erst Mal vielen Dank für die ultra-schnelle Antwort!

Hier das log aus Malwarebytes...

Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

15.02.2009 12:43:13
mbam-log-2009-02-15 (12-43-13).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 65102
Laufzeit: 2 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\aquaplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxqmsqomah.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\autorun.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-8-1-33-100024866-100000853-100000840-5590.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxemejrfha.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxovnrwair.sys (Trojan.Agent) -> Quarantined and deleted successfully.
Im Anhang die uninstall Liste...

Rest folgt gleich..

Seitenanfang Seitenende
15.02.2009, 12:52
Member

Beiträge: 3716
#4 da du den dns Changer auf dem system hast, sind all deine passwörter und sonstigen zugangsdaten als ausspioniert zu betrachten, onlinebanking etc ist jetzt erst mal tabu! Wenn du onlinegeschefte betreibst, teile das deiner bank mit (das du einen trojaner hattest) Auch paypal und änliches muss informiert werden... jetzt noch hijackthis und combofix bitte
Seitenanfang Seitenende
15.02.2009, 13:23
Member

Themenstarter

Beiträge: 18
#5 HijackThis...

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:58, on 15.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe


C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TuneUp Utilities 2009\Integrator.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.web.de/home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\Scriptcl.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Cobian Backup 9] "C:\Programme\Cobian Backup 9\Cobian.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAA753ED-13AB-4B68-B6CA-28B978152EDE}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5CD9CA6-1E0C-4222-A290-A0C6447E7576}: NameServer = 129.13.64.5,129.13.96.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 10634 bytes
und coombofix...

Zitat

ComboFix 09-02-14.01 - Andreas 2009-02-15 12:56:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2046.1515 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)
FW: R-Firewall *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
D:\Autorun.inf
d:\recycler\S-3-3-11-100003389-100018818-100030851-1736.com
d:\recycler\S-8-1-33-100024866-100000853-100000840-5590.com
h:\recycler\S-8-1-33-100024866-100000853-100000840-5590.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-15 bis 2009-02-15 ))))))))))))))))))))))))))))))
.

2009-02-15 12:35 . 2009-02-15 12:35 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-15 12:35 . 2009-02-15 12:35 <DIR> d-------- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2009-02-15 12:35 . 2009-02-15 12:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-15 12:35 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-15 12:35 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-15 12:20 . 2009-02-15 12:20 <DIR> d-------- c:\programme\CCleaner
2009-02-15 12:03 . 2009-02-15 12:03 <DIR> d-------- C:\fixwareout
2009-02-10 11:46 . 2009-02-10 11:46 <DIR> d-------- c:\programme\Clever Age
2009-02-09 11:39 . 2009-02-09 11:40 878,587 --a------ C:\Seastiani_cmj_1.MF
2009-02-09 11:38 . 2009-02-09 11:38 878,582 --a------ C:\Sebi_cmj_1.MF
2009-02-09 11:35 . 2009-02-09 11:35 878,581 --a------ C:\Tom_cmj_1.MF
2009-02-09 11:33 . 2009-02-09 11:33 878,582 --a------ C:\Domi_cmj_1.MF
2009-02-09 11:31 . 2009-02-09 11:31 878,583 --a------ C:\Karin_cmj_1.MF
2009-02-09 11:28 . 2009-02-09 11:28 878,583 --a------ C:\Julia_cmj_1.MF
2009-02-09 11:25 . 2009-02-09 11:25 878,582 --a------ C:\Lisa_cmj_1.MF
2009-02-09 11:12 . 2009-02-09 11:12 878,581 --a------ C:\Lisa_sj_2.MF
2009-02-09 11:11 . 2009-02-09 11:11 878,581 --a------ C:\Lisa_sj_1.MF
2009-02-08 18:20 . 2009-02-08 18:20 2,857,046 --a------ C:\cmj_bernd.bmp
2009-02-08 15:22 . 2009-02-08 15:22 <DIR> d-------- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Conor O'Kane
2009-02-08 15:22 . 2009-02-08 15:22 4,096 --a------ c:\windows\d3dx.dat
2009-02-08 15:21 . 2009-02-08 15:21 <DIR> d-------- c:\programme\Harpooned
2009-02-08 12:04 . 2009-02-08 12:04 <DIR> d-------- c:\programme\COMODO
2009-02-08 12:04 . 2009-02-08 14:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\comodo
2009-02-08 12:04 . 2009-02-08 12:04 147,192 --a------ c:\windows\system32\guard32.dll
2009-02-08 12:04 . 2009-02-08 12:04 101,776 --a------ c:\windows\system32\drivers\cmdguard.sys
2009-02-08 12:04 . 2009-02-08 12:04 31,504 --a------ c:\windows\system32\drivers\cmdhlp.sys
2009-02-06 15:15 . 2009-02-08 14:11 <DIR> d-------- c:\programme\R-TT
2009-02-06 13:14 . 2009-01-18 22:35 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-02-06 11:13 . 2009-02-06 11:13 <DIR> d-------- c:\programme\Lavasoft
2009-02-06 11:13 . 2009-02-06 11:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-06 11:13 . 2009-02-06 11:13 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-06 11:13 . 2009-01-18 22:30 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-02-04 13:54 . 2009-02-04 13:54 <DIR> d-------- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Design Science
2009-02-04 13:53 . 2009-02-04 13:53 <DIR> d-------- c:\programme\MathType
2009-02-04 11:25 . 2009-02-04 11:25 <DIR> d-------- c:\programme\Analog Devices
2009-02-04 11:25 . 2009-02-04 11:25 <DIR> d-------- C:\Drivers
2009-02-04 11:25 . 2001-09-11 15:20 1,285,632 --------- c:\windows\system32\SMMedia.dll
2009-02-04 11:25 . 2005-05-04 09:20 53,248 --------- c:\windows\system32\wdmioctl.dll
2009-02-04 11:25 . 2005-09-26 16:20 49,152 --a------ c:\windows\system32\DSndUp.exe
2009-02-04 11:25 . 2002-04-17 15:05 45,056 --------- c:\windows\system32\CleanUp.exe
2009-02-01 14:38 . 2009-02-01 14:38 879,326 --a------ C:\bernd_cmj1.MF
2009-01-30 12:11 . 2009-01-30 12:12 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-01-30 12:11 . 2009-02-15 12:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-28 11:11 . 2009-01-28 11:11 <DIR> d-------- c:\programme\Gemeinsame Dateien\Deterministic Networks
2009-01-28 11:08 . 2009-01-28 11:09 1,594 --a------ c:\windows\VPNUnInstall.MIF
2009-01-27 10:30 . 2009-01-27 10:30 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-01-27 10:30 . 2009-01-27 10:30 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-01-27 10:30 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-01-26 20:16 . 2009-01-26 20:16 0 --a------ c:\windows\nsreg.dat
2009-01-24 17:51 . 2009-01-24 19:03 <DIR> d-------- c:\programme\ARAR
2009-01-22 17:32 . 2009-01-22 17:32 884,335 --a------ C:\test2.MF
2009-01-22 17:31 . 2009-01-22 17:32 886,025 --a------ C:\test1.MF
2009-01-22 17:28 . 2009-02-09 11:06 878,576 --a------ C:\test.MF
2009-01-22 17:25 . 2009-01-22 17:25 <DIR> d-------- c:\programme\Microsoft Visual Studio .NET 2003
2009-01-22 17:20 . 2009-01-22 17:20 <DIR> d-------- c:\windows\system32\URTTEMP
2009-01-18 12:28 . 2009-01-18 16:29 <DIR> d-------- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\phpDesigner 2008
2009-01-18 12:27 . 2009-01-18 12:28 <DIR> d-------- c:\programme\phpDesigner 2008
2009-01-17 11:53 . 2009-01-17 11:53 <DIR> d--h----- c:\windows\$hf_mig$
2009-01-15 11:43 . 2009-01-15 11:43 <DIR> d-------- C:\P5
2009-01-15 09:28 . 2009-01-15 09:28 552 --a------ c:\windows\system32\d3d8caps.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-15 10:34 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Skype
2009-02-12 19:34 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\skypePM
2009-02-08 18:42 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Canon
2009-02-08 13:00 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\uTorrent
2009-02-04 12:25 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-30 11:12 --------- d-----w c:\programme\CdCoverCreator
2009-01-27 09:30 --------- d-----w c:\programme\TuneUp Utilities 2009
2009-01-24 12:55 --------- d-----w c:\programme\NetSetMan
2009-01-22 16:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-22 16:25 --------- d-----w c:\programme\Data Translation
2009-01-18 15:28 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\FileZilla
2009-01-14 16:21 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\gtk-2.0
2009-01-14 16:20 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\avidemux
2009-01-14 14:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PY_Software
2009-01-13 20:11 --------- d-----w c:\programme\CrazyPixels
2009-01-13 16:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\InterVideo
2009-01-13 16:17 --------- d-----w c:\programme\InterVideo
2009-01-13 16:17 --------- d-----w c:\programme\Gemeinsame Dateien\InterVideo
2009-01-06 16:56 --------- d-----w c:\programme\Microsoft
2009-01-02 18:08 --------- d-----w c:\programme\Kransimulator 2009
2009-01-02 18:06 --------- d-----w c:\programme\AGEIA Technologies
2009-01-02 18:05 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\DAEMON Tools Lite
2009-01-02 18:04 --------- d-----w c:\programme\DAEMON Tools Lite
2009-01-02 18:04 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\DAEMON Tools Pro
2009-01-02 18:04 --------- d-----w c:\dokumente und einstellungen\Andreas\Anwendungsdaten\DAEMON Tools
2009-01-02 18:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-01-02 18:01 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2008-12-28 09:50 --------- d-----w c:\programme\kamel_V3
2008-12-20 13:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CdCoverCreator
2008-12-16 13:30 --------- d-----w c:\programme\Reference Assemblies
2008-12-16 13:30 --------- d-----w c:\programme\MSBuild
2008-12-15 07:24 --------- d-----w c:\programme\Gemeinsame Dateien\Acronis
2008-12-15 07:04 --------- d-----w c:\programme\Gemeinsame Dateien\AAV
2008-12-04 20:46 180,224 ----a-w c:\windows\system32\xvidvfw.dll
2008-12-04 20:42 815,104 ----a-w c:\windows\system32\xvidcore.dll
2008-09-05 16:05 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008090520080906\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Cobian Backup 9"="c:\programme\Cobian Backup 9\Cobian.exe" [2008-04-22 579072]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-07-29 331776]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2008-07-29 208896]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-07-03 1323008]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-01-24 111952]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\UdaterUI.exe" [2007-10-25 136512]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]
"WinDVR SchSvr"="c:\programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [2006-12-21 106496]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-18 506712]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2009-02-08 1797880]
"TpShocks"="TpShocks.exe" [2008-06-06 c:\windows\system32\TpShocks.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Andreas\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-01-13 286720]
VPN Client.lnk - c:\windows\Installer\{A7091E1D-36A4-47F1-A739-173CC341414F}\Icon3E5562ED7.ico [2009-01-28 6144]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 15:37 34344 c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-03-17 15:02 34080 c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\xampplite\\apache\\bin\\apache.exe"=
"c:\\xampplite\\mysql\\bin\\mysqld.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Cobian Backup 9\\cbInterface.exe"=
"c:\\Programme\\Cobian Backup 9\\Cobian.exe"=
"c:\\Programme\\Vicon\\Workstation\\Workstation.exe"=
"c:\\Programme\\Vicon\\Nexus\\Nexus.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\FRITZ!fax\\FriFax32.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"c:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-06 64160]
R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [2008-05-14 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [2008-05-14 19496]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2009-02-08 101776]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2009-02-08 31504]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [2008-09-04 4442]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [2008-09-04 94208]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-27 603904]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [2006-10-01 26624]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 921936]
S3 DT9800K;DT9800K;c:\windows\system32\drivers\Dt9800k.sys [2008-04-15 61952]
S3 DT9800LD;Dt9800Ld.Sys DT9800 Series Firmware Loader Driver;c:\windows\system32\drivers\Dt9800Ld.sys [2008-04-15 18432]
S3 DT9812K;DT9812K;c:\windows\system32\drivers\Dt9812k.sys [2008-03-26 61440]
S3 TridVid;Trident Analog Video;c:\windows\system32\drivers\TridVid.sys [2009-01-13 60672]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{680548aa-e1ae-11dd-8993-0018de2a0a77}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL 3dma_conference\index.htm
.
Inhalt des "geplante Tasks" Ordners

2009-02-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]

2009-02-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 22:34]

2009-02-11 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-07-29 00:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/
mStart Page = hxxp://go.web.de/home
uInternet Connection Wizard,ShellNext = hxxp://go.web.de/home
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: bmnet.dll
TCP: {AAA753ED-13AB-4B68-B6CA-28B978152EDE} = 129.13.64.5,129.13.96.2
TCP: {C5CD9CA6-1E0C-4222-A290-A0C6447E7576} = 129.13.64.5,129.13.96.2
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\n8kx29mg.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.de/

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 12:58:26
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001]
@Denied: (A B C D 2) (S-1-5-21-861567501-1897051121-839522115-1003)
@Denied: (A B C D 2) (LocalSystem)
@Denied: (A B C D 2) (Administrators)
"*FixWareOut"="c:\\WINDOWS\\system32\\cmd.exe /c c:\\fixwareout\\FindT\\XP-2K2.cmd"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\guard32.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\windows\system32\netprovcredman.dll

- - - - - - - > 'lsass.exe'(704)
c:\windows\system32\guard32.dll
c:\windows\system32\bmnet.dll
.
Zeit der Fertigstellung: 2009-02-15 13:00:14
ComboFix-quarantined-files.txt 2009-02-15 12:00:11

Vor Suchlauf: 24 Verzeichnis(se), 23.075.889.152 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 23,063,826,432 Bytes frei

320 --- E O F --- 2009-01-17 10:53:56
Dieser Beitrag wurde am 15.02.2009 um 14:26 Uhr von AndiFischer editiert.
Seitenanfang Seitenende
15.02.2009, 14:10
Member

Beiträge: 3716
#6 Hallo, dein problem ist noch niht beseitigt!
Zum Deaktivieren des TeaTimer-Moduls musst du in Spybot Search & Destroy in der Menüleiste unter "Modus" zunächst den "Erweiterten Modus" wählen.
Dann links im Menü "Werkzeuge" auswählen. Nun - ebenfalls links - den Untermenü-Punkt "Resident" wählen und nun das Häkchen bei "Resident Teatimer (Schutz
von Systemeinstellungen)" entfernen.
starte deinen pc neu.
http://virus-protect.org/artikel/tools/mbr.html
erst mal nur den scan ausfüren!
Seitenanfang Seitenende
15.02.2009, 14:25
Member

Themenstarter

Beiträge: 18
#7 user and kernel MBR ok
Seitenanfang Seitenende
15.02.2009, 14:36
Member

Beiträge: 3716
#8 ok, wie läuft das system momentan?
http://virus-protect.org/rootkitscanner.html
ich möchte trotzdem noch mehr rootkitscans durchfüren um sicher zu gehen:
nehme aus der liste.
Blacklight
Gmer
http://virus-protect.org/catchme.html
alle scans wenn möglcih ohne neustart ausfüren. alle programme auch antivir aus, internetverbindung trennen also kabel aus wlan aus. wenn du die logs zusammen hast, verbindung widerherstellen und logs posten
Seitenanfang Seitenende
15.02.2009, 15:08
Member

Themenstarter

Beiträge: 18
#9 So... alle ohne Befund...
Ich habe immer noch das Problem, dass die dlls nicht geladen werden können. Also beim Öffnen vom IE z.B. kommt immer noch, das grooveutil.dll nicht geladen werden kann.. Ansonsten dauert der Systemstart relativ lange...
Seitenanfang Seitenende
15.02.2009, 15:09
Member

Beiträge: 3716
#10 wenn du die logs bitte posten würdest, for allem gmer...
Seitenanfang Seitenende
15.02.2009, 15:10
Member

Beiträge: 3716
Seitenanfang Seitenende
15.02.2009, 15:11
Member

Themenstarter

Beiträge: 18
#12 02/15/09 14:46:41 [Info]: BlackLight Engine 2.2.1092 initialized
02/15/09 14:46:41 [Info]: OS: 5.1 build 2600 (Service Pack 3)
02/15/09 14:46:41 [Note]: 7019 4
02/15/09 14:46:41 [Note]: 7005 0
02/15/09 14:46:45 [Note]: 7006 0
02/15/09 14:46:45 [Note]: 7011 1464
02/15/09 14:46:45 [Note]: 7035 0
02/15/09 14:46:45 [Note]: 7026 0
02/15/09 14:46:45 [Note]: 7026 0
02/15/09 14:46:48 [Note]: FSRAW library version 1.7.1024
02/15/09 14:53:16 [Note]: 2000 1012
02/15/09 14:53:52 [Note]: 7007 0

gmer folgt gleich... hatte es nicht abgespeichert... sry
Seitenanfang Seitenende
15.02.2009, 15:19
Member

Beiträge: 3716
#13 gut wenn catchme gar nichts gefunden hat, können wir uns das sparen, dann wie gesagt sdfix ausfüren ;-) wegen der dll machen wir dann ;-)
Seitenanfang Seitenende
15.02.2009, 16:05
Member

Themenstarter

Beiträge: 18
#14 So... ging etwas länger..
SDFix hatte zu Beginn Fehler gemeldet... HLVDP.dll konnnte nicht initialisiert werden.. Nachdem ich es ignoriert hatte ging es..


Zitat

SDFix: Version 1.240
Run by Andreas on 15.02.2009 at 15:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 16:00:12
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cfe19b7d]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:43,f3,6e,3b,1c,9c,a1,b4,a1,2d,d9,9f,d8,4a,7c,85,01,76,0a,32,e6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,14,72,c0,8e,35,21,45,c7,3c,a4,da,cb,e8,97,22,b9,fa,..
"khjeh"=hex:db,de,73,b8,8e,32,17,3f,20,f8,6a,3f,9f,0a,b2,da,d8,6e,bc,dc,2a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bf,fe,24,f9,05,c8,6b,ca,28,67,59,48,91,08,bf,8f,4e,7b,a1,53,aa,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0016cfe19b7d]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:43,f3,6e,3b,1c,9c,a1,b4,a1,2d,d9,9f,d8,4a,7c,85,01,76,0a,32,e6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,14,72,c0,8e,35,21,45,c7,3c,a4,da,cb,e8,97,22,b9,fa,..
"khjeh"=hex:db,de,73,b8,8e,32,17,3f,20,f8,6a,3f,9f,0a,b2,da,d8,6e,bc,dc,2a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bf,fe,24,f9,05,c8,6b,ca,28,67,59,48,91,08,bf,8f,4e,7b,a1,53,aa,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"..."

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"="C:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe:*:Enabled:McAfee Framework Service"
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"="C:\\Programme\\TeamViewer3\\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\xampplite\\apache\\bin\\apache.exe"="C:\\xampplite\\apache\\bin\\apache.exe:*:Enabled:Apache HTTP Server"
"C:\\xampplite\\mysql\\bin\\mysqld.exe"="C:\\xampplite\\mysql\\bin\\mysqld.exe:*:Enabled:mysqld"
"C:\\WINDOWS\\system32\\msiexec.exe"="C:\\WINDOWS\\system32\\msiexec.exe:*:Enabled:Windows® installer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Cobian Backup 9\\cbInterface.exe"="C:\\Programme\\Cobian Backup 9\\cbInterface.exe:*:Enabled:Cobian Backup Amanita Interface"
"C:\\Programme\\Cobian Backup 9\\Cobian.exe"="C:\\Programme\\Cobian Backup 9\\Cobian.exe:*:Enabled:Cobian Backup Amanita Application"
"C:\\Programme\\Vicon\\Workstation\\Workstation.exe"="C:\\Programme\\Vicon\\Workstation\\Workstation.exe:*:Enabled:Vicon Workstation software executable"
"C:\\Programme\\Vicon\\Nexus\\Nexus.exe"="C:\\Programme\\Vicon\\Nexus\\Nexus.exe:*:Enabled:Vicon Nexus"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Programme\\FRITZ!fax\\FriFax32.exe"="C:\\Programme\\FRITZ!fax\\FriFax32.exe:*:Enabled:FRITZ!fax"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe:*:Enabled:Nexon Game Manager"
"C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"="C:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe:*;)isabled:phpDesigner2008"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Nexon\\Combat Arms\\CombatArms.exe"="C:\\Nexon\\Combat Arms\\CombatArms.exe:*Enabled:CombatArms.exe"
"C:\\Nexon\\Combat Arms\\Engine.exe"="C:\\Nexon\\Combat Arms\\Engine.exe:*Enabled:Engine.exe"

Remaining Files :



Files with Hidden Attributes :

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Fri 24 Oct 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!

Seitenanfang Seitenende
15.02.2009, 16:18
Member

Beiträge: 3716
#15 ich möchte nun doch noch mal das gmer und catchme log sehen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: