Wie werd ich "Trojan.DNS_Changer" wieder los ??

#16 ok versuch mal beide einzeln suchen zu lassen:
85.255.112.151
85.255.112.207
also nacheinander.

#17 Ok, also zum 1:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 17.03.2009 14:03:06 for strings:
; '85.255.112.151'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters]
"NameServer"="85.255.112.151,85.255.112.207"

; End Of The Log...


Zum 2.:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 17.03.2009 14:05:07 for strings:
; '85.255.112.207'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters]
"NameServer"="85.255.112.151,85.255.112.207"

; End Of The Log...

#18 start ausfüren
regedit
enter
navigiere zu:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters]
auf der rechten seite:
"NameServer"="85.255.112.151,85.255.112.207"
rechtsklick löschen.
navigiere zu:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters]
auf der rechten seite wieder löschen:
"NameServer"="85.255.112.151,85.255.112.207"
pc neu starten, neues hijackthis-log.

#19 Selber "Ordner" habe jedoch nur 1 Datei gefunden. War es evtl. die gleiche wie die 2.?

#20 ja der schlüssel ist der gleiche, wenns nur einen eintrag gibt, ist es ok, dann neu starten neues hijackthis-log posten.

#21 Schon erledigt: :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:27:04, on 17.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Windows\system32\svchost.exe
c:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Users\Jaws\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Users\Jaws\Downloads\Firefox\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0109&m=aspire_8730
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0109&m=aspire_8730
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\PROGRA~1\PREISP~1\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\IEBUTT~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Preispiraten - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\PROGRA~1\PREISP~1\IEBUTT~3.DLL
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Orion.lnk = C:\Program Files\Convesoft\Orion\Messenger.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Program Files\\Preispiraten6\\preispiraten.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Program Files\Preispiraten6\preispiraten3ie.exe
O9 - Extra 'Tools' menuitem: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Program Files\Preispiraten6\preispiraten3ie.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Amazon Startseite - {9E029088-432F-4EBF-9537-0171A4C37870} - http://webtip.ch/cgi-bin/amz_track/tracker_de.pl?loc=main&site=home (file missing)
O9 - Extra 'Tools' menuitem: Amazon Startseite - {9E029088-432F-4EBF-9537-0171A4C37870} - http://webtip.ch/cgi-bin/amz_track/tracker_de.pl?loc=main&site=home (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: eBay - {E79005A3-0F92-434B-9F7B-51131FC7168F} - http://www.preispiraten.de/e/tr_ebdestart.pl?http://www.ebay.de (file missing)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c99d96f2f1fc10) (gupdate1c99d96f2f1fc10) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - c:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 15152 bytes

#22 so, in die ukraine wirst du nu net mehr geleitet aber trotzdem noch nichts weiter mit dem PC machen:
http://virus-protect.org/rootkitscanner.html
Wir werden jetzt rootkitscans ausfüren. Bitte alle programme während der scans ausschalten und zwischendurch und danach nicht neu starten.
Verbinung zum internet trennen, also kabel raus oder wlan aus.
Die Scans wieder als administrator ausfüren!
Folgende Scanner verwenden:
gmer
catchme
blacklight
poste die logs.

#23 Alle Programmes heißt auch wieder Avira,Spybot ..... ? Oder nur offene Fenster?

#24 lösche im selben schlüssel wie eben:
"NameServer"="208.67.220.220,208.67.222.222"

#25 offene fenster avira alles was so läuft grad!

#26 Ist wohl in einem anderen Schlüssel:

wohl ...controlset07... anstatt 06

bei blacklight sollte man CCleaner vorher laufen lassen. (Tun oder nicht tun?)

#27 ja sorry hatte cih vergessen mit hinzuschreiben (mit dem schlüssel) ja CCleaner kannst laufen lassen.

#28 So das hat jetzt gedauert.........

Ungestartet und wieder einigermaßen sicher die Logs:


Gmer:


GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-17 15:47:21
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.15 ----

SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwAllocateVirtualMemory [0x9E290B94]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwAlpcConnectPort [0x9E290516]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwAssignProcessToJobObject [0x9E290586]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwConnectPort [0x9E2905DA]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateFile [0x9E290640]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateProcess [0x9E29072E]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateProcessEx [0x9E2907BA]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateThread [0x9E29084A]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwDebugActiveProcess [0x9E290980]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwDuplicateObject [0x9E2909D4]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwLoadDriver [0x9E290A3A]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwOpenKey [0x9E290A8C]
SSDT 9DA454A8 ZwOpenProcess
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwOpenSection [0x9E290AE4]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwOpenThread [0x9E290B3C]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwProtectVirtualMemory [0x9E290BFA]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwRestoreKey [0x9E290C58]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwResumeThread [0x9E290CB6]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSecureConnectPort [0x9E290D74]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSetValueKey [0x9E290D08]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSuspendProcess [0x9E290DDE]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSystemDebugControl [0x9E290E30]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwTerminateProcess [0x9E290E90]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwWriteVirtualMemory [0x9E290EF4]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateThreadEx [0x9E2908EC]
SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateUserProcess [0x9E2906BE]

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetTimerEx + 364 822C8928 4 Bytes [94, 0B, 29, 9E] {XCHG ESP, EAX; OR EBP, [ECX]; SAHF }
.text ntkrnlpa.exe!KeSetTimerEx + 370 822C8934 4 Bytes [16, 05, 29, 9E]
.text ntkrnlpa.exe!KeSetTimerEx + 3C4 822C8988 4 Bytes [86, 05, 29, 9E]
.text ntkrnlpa.exe!KeSetTimerEx + 3F4 822C89B8 4 Bytes [DA, 05, 29, 9E]
.text ntkrnlpa.exe!KeSetTimerEx + 40C 822C89D0 4 Bytes [40, 06, 29, 9E]
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\Explorer.EXE[2016] SHELL32.dll!InitNetworkAddressControl + 2939 767F0064 4 Bytes [00, 26, 00, 10] {ADD [ESI], AH; ADD [EAX], DL}

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74B37BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74B798C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [74B3D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [74B2F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74B37599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74B2E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74B6B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [74B3D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [74B3012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74B30095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74B271F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [74BBD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [74B575E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74B2DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74B2668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74B266BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74B31E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [100027E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [10001D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10002B30] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [100011D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp pctgntdi.sys
AttachedDevice \Driver\tdx \Device\Udp pctgntdi.sys
AttachedDevice \Driver\tdx \Device\RawIp pctgntdi.sys
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----






CatchMe:





catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


BlackLight:


Scan targets: Hidden processes & hidden files and folders

Status: Scan complete. No hidden items found.

Summary: Hidden items found: 0
Item queued renaming: 0

#29 das sieht doch schon mal gut aus!
noch probleme?
füre im abgesicherten modus aus, lösche alle funde, poste das log:
http://virus-protect.org/cureit.html

#30 Also Spyware Doktor findet diesen Trojaner nicht mehr. JUHU.
Jedoch meldet er jetzt Probleme mit: Application.NirCmd, scheint aber von ComboFix zu stammen. Dr.Web Antivirus läuft noch, hat aber auch Probleme mit
CombiFix gemeldet. Habe noch Spybot geöffnet, dann kamen haufenweise geblockte Infektionen.

Sende ich mal:

17.03.2009 16:21:29:426
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
17.03.2009 16:21:29:428
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
17.03.2009 16:21:29:429
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot
17.03.2009 16:21:29:430
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
17.03.2009 16:21:29:508
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
17.03.2009 16:21:29:511
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
17.03.2009 16:21:29:513
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
17.03.2009 16:21:29:515
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
17.03.2009 16:21:29:516
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
17.03.2009 16:21:29:518
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
17.03.2009 16:21:29:520
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
17.03.2009 16:21:29:522
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
17.03.2009 16:21:29:524
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
17.03.2009 16:21:29:525
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
17.03.2009 16:21:29:527
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
17.03.2009 16:21:29:564
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
17.03.2009 16:21:29:565
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
17.03.2009 16:21:29:566
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
17.03.2009 16:21:29:567
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
17.03.2009 16:21:29:568
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
17.03.2009 16:21:29:569
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
17.03.2009 16:21:29:570
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
17.03.2009 16:21:29:571
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
17.03.2009 16:21:29:572
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
17.03.2009 16:21:29:572
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
17.03.2009 16:22:23:495
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\ComboFix\catchme.cfexe
17.03.2009 16:22:23:497
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Ordner
Risiko-Stufe - Info
Infektion - C:\ComboFix\
17.03.2009 16:22:23:568
Scan beendet
Scan-Art - Intelli-Scan
Bearbeitete Elemente - 64529
Gefundene Bedrohungen - 1
Gefundene Infektionen - 27
Übergangene Infektionen - 0
17.03.2009 16:29:19:808
Smart Update
Sie verwenden die neueste Version von Spyware Doctor
17.03.2009 16:29:20:964
Immunizer-Ergebnisse
ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet.
17.03.2009 17:05:35:866
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.CWS
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:185
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Email-Worm.Zhelatin
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:261
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.Repsamo
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:333
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Adware.EliteBar
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:338
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Adware.EliteBar
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:358
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Adware.EliteBar
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:402
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan-Proxy.Lager.f
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:419
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.CWS
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:462
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Spyware.Known_Bad_Sites
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:484
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan-Proxy.Lager.f
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:489
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.CWS
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:539
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan-Downloader.Agent.SY
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:543
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.CWS
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:576
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.Desktopscam
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:604
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan-Downloader.Small.DTC
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:626
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.Virtumonde
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Erhöht
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:642
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Spyware.Known_Bad_Sites
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26
17.03.2009 17:05:36:657
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan.LockSky
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung.
Risiko-Stufe - Hoch
Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26



Konnte auch seit wenigen Tagen die externe Festplatte F: von der Oberfläche Computer nicht öffenen, mußte rechte Maustaste und Explorer machen, dann gings.

Dr Web AV medlet auch:

Objekt: Autorun.inf, Pfad:F:/, Wahrscheinlich WIN32.HLLW.Autoruner.corrupted wurde aber verschoben. Hat das was damit zu tun.


Komplette Dr Web AV Log folgt....... Jetzt schonmal vielen vielen Dank. ;-)