Trojan.vundo.h und backdoor.bot entfernt - aber keine Internetverbindung möglich

#0
14.03.2009, 13:42
Member

Beiträge: 11
#1 Hallo,
ich habe ein großes Problem. Ich habe mir einscheinend einen Virus eingefangen und kann mit keinem Browser mehr ins Internet, noch nichteinmal auf meinen Router zugreifen. Die Verbindung steht aber, mit einem anderen Laptop komme nämlich ich rein.

Die Vorgeschichte:

Avira hat diverse Trojaner/Backdoors/Dropper in Archiven gefunden, die ich aber ohne zu öffnen alle gelöscht habe.

Probleme bereitete ein Datei namens fccayxuu.dll, die auch als Prozess lief und anscheinend Trojan.vundo.h beinhaltete.
Auch diese konnte ich anscheinend erfolgreich löschen.
Ungefähr danach brach die Internetverbindung ab.


Folgende Schritte habe ich unternommen:

Vundofix - nichts gefunden


Malwarebytes Anti-Malware:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

14.03.2009 01:34:06
mbam-log-2009-03-14 (01-34-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 83142
Laufzeit: 21 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccayxuu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\whInstall (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\fccayxuu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\spoolsv.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Programme\whInstall\license.txt (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\readme.txt (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\Sporder.dll (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\Webhdll.dll (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\WhAgent.exe (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\whAgent.inf (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\whAgent.ini (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\whiehlpr.dll (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\whInstaller.exe (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\Programme\whInstall\whInstaller.ini (Adware.WebHancer) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\aliases.ini (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\com.mrc (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\control.ini (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\fullname.txt (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\ident.txt (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\mirc.ico (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\remote.ini (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\servers.ini (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\users.ini (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\spoolsv\xmas.jpg (Backdoor.Bot) -> Quarantined and deleted successfully.


Problem bestand weiterhin.


Dann:
combofix.
CCleaner
nochmal Combofix. (Leider habe ich das Logfile nicht mehr.)

Problem bestand weiterhin.

Jetzt findet weder Malwarebytes Anti-Malware noch Avira was und auch im Hijackthis-Logfile ist nicht sonderlich auffällig, aber das Problem besteht weiterhin...

Hier das letzte HijackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:20, on 14.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Mediafour\MacDrive 7\MacDrive.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Post It Notes Lite\PsnLite.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\POSTIT~1\PSNGive.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\HijackThis\HJt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [Neuer Wert #1] sndrec32 /play /close /embedding winintro.wav
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "C:\Programme\Mediafour\MacDrive 7\MacDrive.exe"
O4 - HKLM\..\Run: [MDGetStarted.exe] "C:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\Post It Notes Lite\PsnLite.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D81C75-EB6E-4CC5-8B20-5CA22687ADBC}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MacDriveService - Mediafour Corporation - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe

--
End of file - 6412 bytes


Bitte helft mit. Ich weiß nicht, was ich noch machen soll.

Vielen dank im vorraus,

Ruiner
Seitenanfang Seitenende
14.03.2009, 13:56
Member

Beiträge: 3716
#2 cocombofix.txt suchen und deren inhalt posten
Seitenanfang Seitenende
14.03.2009, 14:09
Member

Themenstarter

Beiträge: 11
#3 Die Datei ist vom zweiten Durchlauf. Beim ersten hatte Combofix was gefunden und beseitigt.





ComboFix 09-03-13.02 - Holger 2009-03-14 12:08:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1627 [GMT 1:00]
ausgeführt von:: e:\dokumente und einstellungen\Holger\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 11:43 . 2009-03-14 11:57 <DIR> d-------- c:\programme\CCleaner
2009-03-14 01:10 . 2009-03-14 01:10 <DIR> d-------- e:\dokumente und einstellungen\Holger\Anwendungsdaten\Malwarebytes
2009-03-14 01:10 . 2009-03-14 01:10 <DIR> d-------- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-14 01:10 . 2009-03-14 01:10 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-14 01:10 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-14 01:10 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-13 14:00 . 2009-03-13 14:00 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-13 02:29 . 2009-03-13 02:29 <DIR> d-------- C:\VundoFix Backups
2009-03-13 01:39 . 2009-03-13 01:48 <DIR> d-------- e:\dokumente und einstellungen\Holger\.VirtualBox
2009-03-13 01:36 . 2009-02-16 17:46 100,560 --a------ c:\windows\system32\drivers\VBoxDrv.sys
2009-03-13 01:35 . 2009-02-16 17:47 129,552 --a------ c:\windows\system32\VBoxNetFltNotify.dll
2009-03-13 01:35 . 2009-02-16 17:47 87,568 --a------ c:\windows\system32\drivers\VBoxNetFlt.sys
2009-03-13 01:34 . 2009-03-13 04:01 <DIR> d-------- c:\programme\Sun
2009-03-13 01:34 . 2009-02-16 17:47 41,744 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys
2009-03-12 23:07 . 2009-03-12 23:07 <DIR> d-------- e:\dokumente und einstellungen\Holger\Anwendungsdaten\MPEG Streamclip
2009-03-12 16:59 . 2009-03-12 17:18 <DIR> d-------- e:\dokumente und einstellungen\Holger\Anwendungsdaten\Download Manager
2009-03-12 12:00 . 2009-03-12 23:07 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-12 12:00 . 2009-03-12 12:00 1,409 --a------ c:\windows\QTFont.for
2009-03-12 11:59 . 2009-03-12 11:59 <DIR> d-------- e:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-03-12 11:59 . 2009-03-12 11:59 <DIR> d-------- c:\programme\Apple Software Update
2009-03-04 01:02 . 2009-03-04 01:02 <DIR> d-------- e:\dokumente und einstellungen\Holger\Anwendungsdaten\avidemux
2009-03-04 01:01 . 2009-03-04 01:02 <DIR> d-------- c:\programme\avidemux
2009-03-03 12:53 . 2009-03-13 14:00 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-24 18:36 . 2004-08-04 00:58 20,992 --a------ c:\windows\system32\dshowext.ax
2009-02-24 18:36 . 2004-08-04 00:58 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax
2009-02-24 18:29 . 2009-02-24 18:29 <DIR> d-------- c:\programme\Canon
2009-02-24 18:28 . 2009-02-24 18:29 <DIR> d-------- c:\programme\Gemeinsame Dateien\Canon
2009-02-17 16:31 . 2009-02-17 16:31 <DIR> d-------- c:\programme\DataDesign
2009-02-17 16:28 . 2009-02-17 16:28 39 --a------ c:\windows\MB.ini
2009-02-17 15:55 . 2009-02-17 15:55 <DIR> d-------- e:\dokumente und einstellungen\All Users\Anwendungsdaten\fun communications
2009-02-17 15:55 . 2009-02-17 15:55 <DIR> d-------- c:\programme\letstrade
2009-02-17 15:55 . 2009-02-17 15:55 <DIR> d-------- c:\programme\Gemeinsame Dateien\DataDesign
2009-02-17 15:55 . 2008-07-23 15:59 824,584 --------- c:\windows\system32\ddbaccpl.cpl
2009-02-17 15:55 . 2009-02-17 16:31 658,432 --a------ c:\windows\fpuninst.exe
2009-02-17 15:55 . 2008-07-23 15:59 226,568 --------- c:\windows\system32\ddbacctm.cpl
2009-02-17 15:54 . 2009-02-17 16:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\buhl data service
2009-02-17 15:54 . 2002-08-23 10:00 4,082,688 --a------ c:\windows\system32\qtintf70.dll
2009-02-17 15:46 . 2009-02-17 15:54 <DIR> d-------- c:\programme\BMWi GründerSoftwarePaket9
2009-02-17 15:19 . 2009-02-17 15:19 59 --a------ c:\windows\Wininit.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 13:02 --------- d-----w e:\dokumente und einstellungen\Holger\Anwendungsdaten\Move Networks
2009-03-13 12:56 --------- d-----w e:\dokumente und einstellungen\Holger\Anwendungsdaten\uTorrent
2009-03-12 22:27 --------- d-----w e:\dokumente und einstellungen\Holger\Anwendungsdaten\dvdcss
2009-03-12 10:59 --------- d-----w c:\programme\QuickTime
2009-03-10 20:48 --------- d-----w e:\dokumente und einstellungen\Holger\Anwendungsdaten\Skype
2009-03-10 20:31 --------- d-----w e:\dokumente und einstellungen\Holger\Anwendungsdaten\skypePM
2009-03-09 13:47 --------- d-----w c:\programme\eMule0.48a MEPHISTO-Mod
2009-03-03 11:53 --------- d-----w c:\programme\Java
2009-02-17 14:07 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-16 15:51 --------- d-----w c:\programme\AnyDVD
2009-02-07 22:52 --------- d-----w e:\dokumente und einstellungen\Holger\Anwendungsdaten\vlc
2009-02-07 19:35 --------- d-----w c:\programme\VLC 0.98 Installiert
2009-02-07 19:29 --------- d-----w c:\programme\vlc-0.9.8a
2009-01-26 20:50 63,488 ----a-w c:\windows\xobglu16.dll
2009-01-26 20:50 23,552 ----a-w c:\windows\xobglu32.dll
2008-12-22 04:59 332,512 ----a-w c:\windows\system32\3ivxVfWCodec.dll
2008-12-22 04:58 1,155,808 ----a-w c:\windows\system32\3ivx.dll
2008-10-08 17:17 1,048,576 ----a-w c:\programme\6a79og0h.0
2008-10-08 17:13 75,473 ----a-w c:\programme\bios.ini
2008-10-08 17:13 528 ----a-w c:\programme\CONFIG.INI
2008-10-08 17:12 29 ----a-w c:\programme\new_ver.ini
2008-02-21 16:21 32 ----a-w e:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-14 12:28 29 ----a-w c:\programme\version.ini
2008-02-14 12:23 231,944 ----a-w c:\programme\gwflash.exe
2007-11-27 15:27 20,064 ----a-w e:\dokumente und einstellungen\Holger\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-21 17:42 19,008 ----a-w c:\programme\markfun.a64
2007-08-21 17:49 17,912 ----a-w c:\programme\markfun.w32
2007-08-21 17:49 125,504 ----a-w c:\programme\MarkFunDrv.dll
2007-04-04 16:35 207,680 ----a-w c:\programme\updateutility.exe
2007-03-30 02:36 301 ----a-w c:\programme\update.ini
2007-03-02 02:48 240,448 ----a-w c:\programme\gwf32.exe
2006-11-23 21:47 207,680 ----a-w c:\programme\BIOS_Run.exe
2006-11-23 21:40 60,224 ----a-w c:\programme\HUADRV.DLL
2005-04-27 17:40 6,800 ----a-w c:\programme\W95_HUA.vxd
2005-05-13 16:12 217,073 --sha-r c:\windows\meta4.exe
2005-10-24 10:13 66,560 --sha-r c:\windows\MOTA113.exe
2005-10-13 20:27 422,400 --sha-r c:\windows\x2.64.exe
2005-10-07 18:14 308,224 --sha-r c:\windows\system32\avisynth.dll
2005-07-14 11:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r c:\windows\system32\cygz.dll
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
2006-04-27 09:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
2005-02-28 12:16 240,128 --sha-r c:\windows\system32\x.264.exe
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll
.

------- Sigcheck -------

2002-08-29 00:58 332928 244a2f9816bc9b593957281ef577d976 c:\windows\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c c:\windows\ServicePackFiles\i386\TCPIP.SYS
2008-03-04 11:02 359040 27a5959c94ee173a063ca06bd14f021a c:\windows\system32\dllcache\TCPIP.SYS
2008-03-04 11:02 359040 27a5959c94ee173a063ca06bd14f021a c:\windows\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((( SnapShot@2009-03-14_11.32.53,70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-14 11:01:38 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_37c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Neuer Wert #1"="sndrec32" [X]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-11-19 1966080]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SmcService"="c:\progra~1\SYGATE~1\smc.exe" [2004-02-24 2372760]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"{B179023B-6238-4499-8F26-CD73E9D90E0A}"="c:\programme\Mediafour\MacDrive 7\MacDrive.exe" [2007-03-01 179288]
"MDGetStarted.exe"="c:\programme\Mediafour\MacDrive 7\MDGetStarted.exe" [2007-02-21 139264]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-01-10 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

e:\dokumente und einstellungen\HK\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

e:\dokumente und einstellungen\Holger\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

e:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Post-it© Software Notes Lite.lnk - c:\programme\Post It Notes Lite\PsnLite.exe [2003-10-09 1622016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2007-11-17 22336]
R0 MDFSYSNT;MacDrive file system driver;c:\windows\system32\drivers\MDFSYSNT.SYS [2007-02-16 273920]
R0 MDPMGRNT;MDPMGRNT;c:\windows\system32\drivers\MDPMGRNT.sys [2007-02-28 19072]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2007-11-17 45376]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [2009-03-13 100560]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2009-03-13 41744]
R2 MacDriveService;MacDriveService;c:\programme\Mediafour\MacDrive 7\MacDriveService.exe [2007-02-09 143360]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [2009-03-13 87568]
S3 MarkFun_NT;MarkFun_NT;c:\programme\markfun.w32 [2007-08-21 17912]
.
Inhalt des "geplante Tasks" Ordners

2009-03-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: midnightinn.com\www
TCP: {D7D81C75-EB6E-4CC5-8B20-5CA22687ADBC} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - e:\dokumente und einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\qh7fszvz.default\
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 12:10:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\c:\programme\markfun.w32"
.
Zeit der Fertigstellung: 2009-03-14 12:12:47
ComboFix-quarantined-files.txt 2009-03-14 11:11:41
ComboFix2.txt 2009-03-14 10:35:23

Vor Suchlauf: 1.378.422.784 Bytes frei
Nach Suchlauf: 1,364,373,504 Bytes frei

189
Seitenanfang Seitenende
14.03.2009, 14:16
Member

Beiträge: 3716
#4 ja und genau die will ich sehen ;-)
update MalwareBytes manuell:
http://malwarebytes.gt500.org/database.jsp
scanne erneut und poste das log
Seitenanfang Seitenende
14.03.2009, 14:34
Member

Themenstarter

Beiträge: 11
#5 Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1826
Windows 5.1.2600 Service Pack 2

14.03.2009 14:30:49
mbam-log-2009-03-14 (14-30-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 81024
Laufzeit: 3 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
14.03.2009, 14:36
Member

Beiträge: 3716
#6 hallo SDfix laden, im abgesicherten modus laufen lassen, log posten:
http://virus-protect.org/artikel/tools/sdfix.html
Seitenanfang Seitenende
14.03.2009, 15:03
Member

Themenstarter

Beiträge: 11
#7 mmh... seltsam, warum findet denn kein programm was...?






SDFix: Version 1.240
Run by Administrator on 14.03.2009 at 14:52

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :

C:\WINDOWS
:698DBC405772C028 24
Total size: 24 bytes.
WINDOWS: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Checking for remaining Streams

C:\WINDOWS
:698DBC405772C028 24
Total size: 24 bytes.




Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 14:57:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

folder error: E:\Dokumente und Einstellungen\Holger

Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Fri 13 May 2005 217,073 A.SHR --- "C:\WINDOWS\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINDOWS\MOTA113.exe"
Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINDOWS\x2.64.exe"
Wed 4 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Wed 4 Aug 2004 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Sat 2 Dec 2006 72,192 ..SHR --- "C:\Programme\SUPER\Setup.exe"
Wed 11 Jan 2006 16,896 A.SHR --- "C:\Programme\SUPER\_Setup.dll"
Fri 7 Oct 2005 308,224 A.SHR --- "C:\WINDOWS\system32\avisynth.dll"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINDOWS\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINDOWS\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\i420vfw.dll"
Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINDOWS\system32\Smab.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINDOWS\system32\x.264.exe"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\yv12vfw.dll"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\SUPER\mencoder\cook3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 94,208 ...HR --- "C:\Programme\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\SUPER\mencoder\drv43260.dll"
Sat 3 Nov 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 548,940 ...HR --- "C:\Programme\SUPER\mencoder\raac.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\SUPER\mencoder\sipr3260.dll"

Finished!
Seitenanfang Seitenende
14.03.2009, 15:35
Member

Beiträge: 3716
#8 hallo,
http://virus-protect.org/rootkitscanner.html
bitte für rootkitscans alle programme auch antivirenprogramm abschalten, verbindung zum internet trennen, also wlan aus oder netzwerkkabel raus.
füre folgende scans ohne neustart aus:
blacklight
gmer
catchme
poste die logs-
Seitenanfang Seitenende
14.03.2009, 18:35
Member

Themenstarter

Beiträge: 11
#9 problem gelöst!!!!

Auf anraten eines Freundes habe ich die Firewall mal deinstalliert und neu installiert.
Das scheints gewesen zu sein. Jetzt geht das Internet wieder.

Entschuldigung für die Umstände und ganz großen herzlichen Dank für die Hilfe.

Hoffe das war's jetzt.

Liebe Grüße, Ruiner
Seitenanfang Seitenende
14.03.2009, 19:01
Member

Beiträge: 3716
#10 hallo, bitte arbeite weiter wie beschrieben, nur weil die symtome weg sind, heißt es nicht, dass dein problem gelöst wurde.
auch ein update von malwarebytes und ein neuer scan währe interessant. (auf der seite gab es nicht die neuesten signaturen)
Seitenanfang Seitenende
15.03.2009, 13:39
Member

Themenstarter

Beiträge: 11
#11 Hallo Virenfinder.
du hast recht...
ich hoffe du bist noch da.




hier die Logs:

black light (screenshot)
http://img5.imageshack.us/img5/4514/blacklightn.jpg







GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-14 16:37:17
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT F7A8AA1C ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xF77608D0]
SSDT F7A8AA08 ZwOpenProcess
SSDT F7A8AA0D ZwOpenThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xF7760E70]
SSDT F7A8AA17 ZwTerminateProcess
SSDT F7A8AA12 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text tcpip.sys!IPTransmit + 10B7 B6F3ECFA 6 Bytes CALL F782F200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 24D9 B6F4011C 6 Bytes CALL F782F200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 4662 B6F422A5 6 Bytes CALL F782F200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys BAF453FD 7 Bytes CALL F782F350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
? E:\DOKUME~1\Holger\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\system32\hal.dll[ntoskrnl.exe!IoReadPartitionTable] [F77199BA] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT \WINDOWS\system32\hal.dll[ntoskrnl.exe!IoWritePartitionTable] [F7719B66] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT ftdisk.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7719AA8] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT dmio.sys[ntoskrnl.exe!IoWritePartitionTableEx] [F7719B8A] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT dmio.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7719AA8] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT PartMgr.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7719AA8] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT disk.sys[ntoskrnl.exe!IoReadPartitionTable] [F77199BA] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT disk.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7719AA8] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT disk.sys[ntoskrnl.exe!IoWritePartitionTableEx] [F7719B8A] MDPMGRNT.sys (MacDrive partition driver/Mediafour Corporation)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F782FCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F782FCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F782FCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F782FCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F782FCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F782FB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F782FCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F782FDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F782FD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \FileSystem\Fastfat \FatCdrom MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \FileSystem\MRxDAV \Device\WebDavRedirector MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanRedirector MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \FileSystem\Fastfat \Fat MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)

AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)
Device \FileSystem\Cdfs \Cdfs MDFSYSNT.sys (MacDrive file system driver/Mediafour Corporation)

---- EOF - GMER 1.0.15 ----






catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Seitenanfang Seitenende
15.03.2009, 13:57
Member

Beiträge: 3716
#12 ok die logs sehen sauber aus.
lass drweb im abges. Modus scannen, poste das log.
http://virus-protect.org/cureit.html
Seitenanfang Seitenende
15.03.2009, 14:51
Member

Themenstarter

Beiträge: 11
Seitenanfang Seitenende
15.03.2009, 15:04
Member

Beiträge: 3716
#14 sorry, stell so was bitte als Text ein, ich kann das net erkennen.
Seitenanfang Seitenende
15.03.2009, 15:15
Member

Themenstarter

Beiträge: 11
#15 leider erstellt dr.web kein Logfile, dass ich einfach kopieren kann...
Müsste ich per Hand abtippen.

Aber das Ergebnis ist einfach:
Dr. Web hat gar nichts gefunden. Meldungen = 0
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: