Home » Viren, Trojaner & Malware Forum » Manson\Lister.exe, Trojan.Agent ("UAC Familie"), Win32.TDSS.rtk - Entfernung » Themenansicht
Manson\Lister.exe, Trojan.Agent ("UAC Familie"), Win32.TDSS.rtk - EntfernungThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
14.06.2009, 18:44
Member
Beiträge: 11 |
||
 
|
|
|
|
14.06.2009, 19:10
Moderator
Beiträge: 5694 |
#2
Hallo
Du hast einen Rootkit auf dem System: Wenn Du Onlinebanking machst oder viele wichtige Daten auf dem System hast, dann rate ich Dir das Neu aufzusetzen. Ansonsten reinigen wir: >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O20 - AppInit_DLLs: c:\progra~1\Manson\liser.dllund wähle fix checked. Starte den Rechner neu. >> Start -> ausführen -> gib ein: devmgmt.msc Es öffnet sich der Geräte-Manager Im Menü unter dem Reiter Ansicht -> Ausgeblendete Geräte anzeigen wählen. Nicht-PnP-Treiber aufklappen (auf das +Zeichen drücken). Suche nach dem Treiber TDSSserv.sys (oder ähnlich). Rechtsklick auf den Treiber -> Deaktivieren wählen. Rechner neu starten. >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Blacklight – Rootkit Erkennungs-und-Elimination Program fsbl.exe - Lade F-Secure Blacklight auf das Desktop - Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme. - Klicke "I accept the agreement", "Next", "Scan". - wenn der Scan zu Ende ist, wähle "Close". - Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten poste das Log Gruss Swiss |
|
|
|
|
|
|
14.06.2009, 19:38
Member
Themenstarter Beiträge: 11 |
#3
Hallo Swiss,
vielen Dank fuer die schnelle Antwort. Ich habe noch ein paar Verstaendnisfragen. Ich betreibe z.B. Onlinebanking, habe das Passwort aber bereits kurz nach der ersten Virusmeldung geandert - Bestuende dann noch Gefahr fuer den Account, wenn ich jetzt eine normale "Reinigung" nach deiner Anleitung ausfuehren, aber keine Neuinstallation in Erwaegung ziehen wuerde? An wichtigen Daten, habe ich z.B. eine Personalsuweiskopie und Kopien von Zeugnissen auf dem Rechner. Ich bin gerade etwas unsicher wie ich fortfahren soll. Mit anderen Worten: Was fuer Moeglichkeiten hat jemand denn mit so einem Rootkit? Und: Kann ich zu diesem Zeitpunkt ueberhaupt Daten gefahrlos sichern? Gruss, Mopsy EDIT1: Ich habe einfach mal mit deiner Anleitung begonnen. Schritt 1 (Hijackthis) hat funktioniert. Schritt 2 bereitet Probleme. Ich habe in dem Pull Down Menue fuer Nicht-PNP-Treiber keinen Eintrag im Sinne von TDSSserv.sys gefunden - Oder ist es eventuell "ssmdrv"? Zwei Treiber sind jedoch mit einem Ausrufezeichen versehen (Parport und podmenadrv). Soll ich trotzdem mit Combofix weitermachen? Hier mal eine Liste von den Treibern, die vorhanden sind: 1394-ARP-Clientprotokoll adfs AFD avgio avipbb Beep Creative 20X HAL Driver Creative AC3 Software Decoder Creative OS Services Driver Creative Proxy Driver Creative SoundFoont Managment Device Driver CT20XUT.DLL CTEXFIFX.DLL CTHWIUT.DLL dmboot dmload E-mu Plug-in Architecture Driver Fips giveio HTTP IP-Netzwerkadressuebersetzung IPSEC-Treiber ksecdd mnmdd mountmgr NDIS-Benutzermodus-E/A-Protokoll NDIS-Systemtreiber NDProxy Netbios ueber TCP/IP Null Parport PartMgr ParVdm podmenadrv RAS-IP-ARP-Treiber RAS-NDIS-TAPI-Treiber RDPCDD RivaTuner32 Secdrv speedfan sptd ssmdrv Standardpaketklassifizierung TCP/IP-Protokolltreiber Treiber fuer atomatische RAS-Verbindung VgaSave VolSnap Wdf01000 Dieser Beitrag wurde am 14.06.2009 um 22:14 Uhr von Mopsy editiert.
|
|
|
|
|
|
|
14.06.2009, 23:00
Moderator
Beiträge: 5694 |
#4
>>
Also wenn du die Passwörter alle geändert hast und nun das System reinigst, solltest Du die Passwörter am Schluss nochmals ändern. Hier siehst du wass ein rootkit ist: http://de.wikipedia.org/wiki/Rootkit Ich kann Dir die Entscheidung nicht abnehmen. Aber scanne nun einfach mal mit Combofix und Blacklight poste die Reporte. Dann werden wir mal schaun was noch so vorhanden ist. >> ssmdrv gehört zu AVIRA Gruss swiss |
|
|
|
|
|
|
14.06.2009, 23:51
Member
Themenstarter Beiträge: 11 |
#5
Guten Abend,
vielen Dank fuer den Link - Das hat mir einiges klar gemacht. Hier nun beide Logs: Anmerkung: Combofix machte mich darauf aufmerksam, dass keine Microsoft Wiederherstellungskonsole vorhanden ist und deswegen sehr tiefgreifende Infizierungen nicht behoben werden koennten (so in etwa). Ich habe zur Sicherheit keine Internetverbindung hergestellt und es ohne Konsole durchlaufen lassen. Combofix Log: ComboFix 09-06-13.09 - h3lios 14.06.2009 23:24.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2641 [GMT 2:00] ausgef¸hrt von:: c:\dokumente und einstellungen\h3lios\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Lˆschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\podmena c:\windows\system32\drivers\SKYNETixdgausj.sys c:\windows\system32\drivers\UACpvtqhhilvqyrrle.sys c:\windows\system32\UACauqtxspqmfacqqn.log c:\windows\system32\UACcsnkacgwmoqfgam.dll c:\windows\system32\UACdvxtlkomufottkv.db c:\windows\system32\UACefntyqyrpcdpimc.dll c:\windows\system32\UAChdxxiqscckfemde.dll c:\windows\system32\UACkxlcutucniqxvpp.dll c:\windows\system32\UAConuntbewqbhdeut.log c:\windows\system32\UACpkbrjuddskhvrma.log c:\windows\system32\UACqbgtchwhxhmurqe.dll c:\windows\system32\UACtkmnwyafcbnjdkg.dll c:\windows\system32\UACvqslkffmxlakrew.dat c:\programme\podmena\podmena.dll C:\tj.vbs c:\windows\system32\drivers\SKYNETixdgausj.sys c:\windows\system32\drivers\UACpvtqhhilvqyrrle.sys c:\windows\system32\SKYNETnucvaguw.dat c:\windows\system32\SKYNETrmiejpqn.dll c:\windows\system32\SKYNETwwqugtku.dll c:\windows\system32\UACauqtxspqmfacqqn.log c:\windows\system32\UACcsnkacgwmoqfgam.dll c:\windows\system32\UACdvxtlkomufottkv.db c:\windows\system32\UACefntyqyrpcdpimc.dll c:\windows\system32\UAChdxxiqscckfemde.dll c:\windows\system32\uacinit.dll c:\windows\system32\UACkxlcutucniqxvpp.dll c:\windows\system32\UAConuntbewqbhdeut.log c:\windows\system32\UACpkbrjuddskhvrma.log c:\windows\system32\UACqbgtchwhxhmurqe.dll c:\windows\system32\UACtkmnwyafcbnjdkg.dll c:\windows\system32\UACvqslkffmxlakrew.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_UACd.sys -------\Legacy_PODMENA -------\Legacy_PODMENADRV -------\Service_podmena -------\Service_podmenadrv -------\Service_SKYNETwjfevqvn ((((((((((((((((((((((( Dateien erstellt von 2009-05-14 bis 2009-06-14 )))))))))))))))))))))))))))))) . 2009-06-13 22:11 . 2009-06-13 22:11 -------- d-----w- c:\programme\CCleaner 2009-06-13 20:44 . 2009-06-13 20:44 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Malwarebytes 2009-06-13 20:40 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-13 20:40 . 2009-06-13 20:41 -------- d-----w- c:\programme\RESCUE 2009-06-13 20:40 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-13 14:02 . 2009-06-13 14:02 2 ---h--w- c:\windows\zaponce53290.dat 2009-06-13 14:01 . 2009-06-13 14:01 -------- d-----w- C:\program Files 2009-06-13 13:38 . 2009-06-13 13:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Autodesk Shared 2009-06-13 12:17 . 2009-06-13 12:17 -------- d-----w- c:\windows\Downloaded Installations 2009-05-19 15:57 . 2009-05-19 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software 2009-05-18 13:11 . 2009-05-18 13:12 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume Avenue 3 2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume 2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3 2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\programme\Resolume Avenue 3.0.1 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-14 20:46 . 2008-11-16 12:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-06-13 14:07 . 2008-11-16 12:31 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Skype 2009-06-13 13:41 . 2008-11-18 21:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk 2009-06-13 13:38 . 2008-11-18 21:04 -------- d-----w- c:\programme\Autodesk 2009-06-13 12:14 . 2009-01-01 13:54 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\uTorrent 2009-06-13 10:21 . 2009-02-25 10:10 334912 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\cgamex86.dll 2009-06-13 10:21 . 2009-02-25 10:10 171072 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\uix86.dll 2009-06-13 09:49 . 2009-03-15 14:14 138944 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-06-13 09:49 . 2009-03-15 14:14 189784 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-06-13 09:49 . 2009-02-25 10:10 874660 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbcl.dll 2009-06-13 09:49 . 2009-02-25 10:10 57344 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbag.dll 2009-06-13 09:49 . 2009-02-25 10:10 479232 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbsv.dll 2009-06-13 09:49 . 2009-02-25 10:10 2669632 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\quakelive.dll 2009-06-10 17:50 . 2009-02-25 10:10 449600 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\qagamex86.dll 2009-06-09 19:32 . 2008-11-16 12:29 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\mIRC 2009-06-09 17:05 . 2008-11-16 12:29 -------- d-----w- c:\programme\mIRC 2009-06-01 21:58 . 2008-12-01 19:45 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\dvdcss 2009-06-01 21:01 . 2009-05-12 18:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\America's Army Deploy Client 2009-05-27 16:15 . 2008-11-16 12:19 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-23 23:10 . 2008-11-16 12:27 -------- d-----w- c:\programme\SpeedFan 2009-05-19 16:00 . 2009-01-03 16:35 75064 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys 2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys 2009-05-19 15:57 . 2009-03-15 14:14 2246144 ----a-w- c:\windows\system32\pbsvc.exe 2009-05-07 17:12 . 2009-05-07 17:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG 2009-05-07 17:12 . 2009-05-07 16:58 188816 ----a-w- c:\windows\hpoins31.dat 2009-05-07 17:10 . 2009-03-22 20:41 -------- d-----w- c:\programme\HP 2009-05-07 17:08 . 2009-03-22 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP 2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant 2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Hewlett-Packard 2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\HP 2009-05-05 18:54 . 2009-05-05 18:50 -------- d-----w- c:\programme\SopCast 2009-05-05 08:51 . 2009-05-05 08:51 625728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll 2009-05-04 18:58 . 2008-11-16 12:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-04-26 12:21 . 2009-04-26 12:21 -------- d-----w- c:\programme\Windows Media Connect 2 2009-04-23 13:45 . 2009-04-23 13:45 64160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys 2009-04-23 13:45 . 2009-03-12 14:46 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys 2009-04-23 13:09 . 2008-11-16 11:40 188616 -c--a-w- c:\dokumente und einstellungen\h3lios\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-23 11:15 . 2009-04-23 11:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Control Panels 2009-04-23 11:14 . 2009-04-23 11:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2009-04-23 11:04 . 2009-04-23 11:04 -------- d-----w- c:\programme\Bonjour 2009-04-23 11:01 . 2009-04-23 11:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2009-04-23 10:53 . 2009-04-23 10:53 3584 ----a-r- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe 2009-04-23 10:53 . 2009-04-23 10:53 -------- d-----w- c:\programme\Windows Installer Clean Up 2009-04-23 10:52 . 2009-04-23 10:52 -------- d-----w- c:\programme\MSECACHE 2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\programme\QuickTime 2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-04-16 15:52 . 2006-02-28 11:00 72688 -c--a-w- c:\windows\system32\perfc007.dat 2009-04-16 15:52 . 2006-02-28 11:00 411596 -c--a-w- c:\windows\system32\perfh007.dat 2009-03-29 11:24 . 2009-03-29 11:24 3532 ----a-w- C:\drmHeader.bin 2008-12-01 19:49 . 2008-12-01 19:49 28 -c--a-w- c:\programme\deviceinfo . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\ SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^h3lios^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk] path=c:\dokumente und einstellungen\h3lios\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NBService"=3 (0x3) "Ati HotKey Poller"=2 (0x2) "NMIndexingService"=3 (0x3) "JavaQuickStarterService"=2 (0x2) "Adobe Version Cue CS2"=2 (0x2) "Adobe LM Service"=3 (0x3) "aawservice"=2 (0x2) "mi-raysat_3dsMax2008_32"=2 (0x2) "Pml Driver HPZ12"=2 (0x2) "ATI Smart"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Miranda IM\\miranda32.exe"= "c:\\Programme\\mIRC\\mirc.exe"= "c:\\Programme\\TerraTec\\InstTool.exe"= "c:\\Programme\\TerraTec\\CinergyDvr.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "g:\\utorrent161.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "d:\\3dMax 2009\\3dsmax.exe"= "d:\\3dMax 2009 Backburner\\monitor.exe"= "d:\\3dMax 2009 Backburner\\manager.exe"= "d:\\3dMax 2009 Backburner\\server.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server "5353:TCP"= 5353:TCP:Adobe CSI CS4 "427:UDP"= 427:UDP:SLP_Port(427) "8085:TCP"= 8085:TCP  odmenaR0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12.03.2009 16:46 64160] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1005904] S2 bdofiec;bdofiec;c:\windows\system32\drivers\dmvsxim.sys --> c:\windows\system32\drivers\dmvsxim.sys [?] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [16.11.2008 14:13 79360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners 2009-06-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:45] 2009-06-14 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-03-25 21:18] . . ------- Zus‰tzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anf¸gen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verkn¸pfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-14 23:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteintr‰ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1024) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(960) c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Creative\Shared Files\CTAudSvc.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe c:\programme\Bonjour\mDNSResponder.exe d:\3dmax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe c:\windows\system32\PnkBstrA.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\system32\wscntfy.exe c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-06-14 23:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-06-14 21:35 Vor Suchlauf: 8 Verzeichnis(se), 49.166.061.568 Bytes frei Nach Suchlauf: 8 Verzeichnis(se), 49.111.838.720 Bytes frei 276 --- E O F --- 2009-05-13 22:45 F-Secure Blacklight Log: 06/14/09 23:40:12 [Info]: BlackLight Engine 2.2.1092 initialized 06/14/09 23:40:12 [Info]: OS: 5.1 build 2600 (Service Pack 3) 06/14/09 23:40:12 [Note]: 7019 4 06/14/09 23:40:12 [Note]: 7005 0 06/14/09 23:40:23 [Note]: 7006 0 06/14/09 23:40:23 [Note]: 7011 960 06/14/09 23:40:23 [Note]: 7035 0 06/14/09 23:40:23 [Note]: 7026 0 06/14/09 23:40:23 [Note]: 7026 0 06/14/09 23:40:25 [Note]: FSRAW library version 1.7.1024 06/14/09 23:43:08 [Note]: 2000 1012 06/14/09 23:43:08 [Note]: 2000 1012 06/14/09 23:43:42 [Note]: 7007 0 |
|
|
|
|
|
|
15.06.2009, 06:36
Moderator
Beiträge: 5694 |
#6
>>
Von hier dürfte das ganze stammen  c:\dokumente und einstellungen\h3lios\Anwendungsdaten\uTorrent >> Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Datei bei www.Virustotal.com/de prüfen und poste das Ergebnis: c:\windows\system32\drivers\dmvsxim.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Zitat "8085:TCP"= 8085:TCPodmenaWende TCPViewer an und poste das Log: http://virus-protect.org/artikel/tools/tcpview.html >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html >> Mach ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html >> Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden und installiere die Wiederherstellungskonsole über combofix >> poste das Neue Log von Combofix Gruss Swiss EDIT:: |
|
|
|
|
|
|
15.06.2009, 15:27
Member
Themenstarter Beiträge: 11 |
#7
Hehe, guten Tag
 c:\windows\system32\drivers\dmvsxim.sys ist an dem besagten Ort nicht aufzufinden. Weder manuell noch ueber die Suchfunktion - Obwohl Versteckte Dateien angezeigt werden und bei der Suche ebenfalls auch versteckte Dateien gesucht wurden. Die andere Datei habe ich kontrollieren lassen. Virustotal Ergebnis: Die Datei wurde bereits analysiert: MD5: 6226f7cbe59e99a90b5cef6f94f966fd First received: 2009.05.18 12:58:41 UTC Datum 2009.06.12 18:00:06 UTC [>2D] Ergebnisse 0/39 Permalink: analisis/03042cf8100db386818cee4ff0f2972431a62ed78edbd09ac08accfabbefd818-1244829606 Datei zaponce53290.dat empfangen 2009.06.15 13:18:42 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.18 2009.06.15 - AhnLab-V3 5.0.0.2 2009.06.15 - AntiVir 7.9.0.187 2009.06.15 - Antiy-AVL 2.0.3.1 2009.06.15 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.15 - BitDefender 7.2 2009.06.15 - CAT-QuickHeal 10.00 2009.06.15 - ClamAV 0.94.1 2009.06.15 - Comodo 1335 2009.06.15 - DrWeb 5.0.0.12182 2009.06.15 - eSafe 7.0.17.0 2009.06.15 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.15 - Fortinet 3.117.0.0 2009.06.15 - GData 19 2009.06.15 - Ikarus T3.1.1.59.0 2009.06.15 - Jiangmin 11.0.706 2009.06.15 - K7AntiVirus 7.10.762 2009.06.12 - Kaspersky 7.0.0.125 2009.06.15 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.15 - Microsoft 1.4701 2009.06.15 - NOD32 4154 2009.06.15 - Norman 6.01.09 2009.06.15 - nProtect 2009.1.8.0 2009.06.15 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.15 - Rising 21.34.04.00 2009.06.15 - Sophos 4.42.0 2009.06.15 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.15 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.15 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.15.1787 2009.06.15 - VirusBuster 4.6.5.0 2009.06.14 - weitere Informationen File size: 2 bytes MD5...: 6226f7cbe59e99a90b5cef6f94f966fd SHA1..: 4452d71687b6bc2c9389c3349fdc17fbd73b833b SHA256: 03042cf8100db386818cee4ff0f2972431a62ed78edbd09ac08accfabbefd818 ssdeep: - PEiD..: - TrID..: File type identification Unknown! PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set ( Check Point Software Technologies Ltd ) > Check Point 2000 Enterprise Suite v.4.1 Strong (3DES) Edition: etcertut.exe Soll ich einfach weiter nach deiner Anleitung fortfahren? |
|
|
|
|
|
|
15.06.2009, 15:29
Moderator
Beiträge: 5694 |
#8
Ja arbeite alles durch
|
|
|
|
|
|
|
15.06.2009, 15:33
Member
Themenstarter Beiträge: 11 |
#9
Auch den OnlineScan?
Dazu muesste ich den infizierten Rechner an das Internet anschliessen - Habe da gerade Bedenken. Alles andere habe ich bis jetzt ueber meinen Laptop geregelt. |
|
|
|
|
|
|
15.06.2009, 15:40
Moderator
Beiträge: 5694 |
#10
Du musst den sowiesi nun anschliessen für TCP View.
Habe meinen Beitrag noch editiert. Gruss swiss |
|
|
|
|
|
|
15.06.2009, 15:45
Member
Themenstarter Beiträge: 11 |
#11
Aye aye Captain!
Ich habe die Liste abgearbeitet. Das sind die Ergebnisse: TCP: [System Process]:0 TCP helios:2869 fritz.fonwlan.box:3109 TIME_WAIT [System Process]:0 TCP helios:2869 fritz.fonwlan.box:3110 TIME_WAIT alg.exe:2980 TCP Helios:1026 Helios:0 LISTENING lsass.exe:1076 UDP Helios:isakmp *:* lsass.exe:1076 UDP Helios:4500 *:* mDNSResponder.exe:1900 TCP Helios:5354 Helios:0 LISTENING mDNSResponder.exe:1900 UDP Helios:1025 *:* mDNSResponder.exe:1900 UDP helios:5353 *:* PnkBstrA.exe:328 UDP Helios:44301 *:* raysat_3dsmax9_32server.exe:244 TCP Helios:mi-raysat_3dsmax9_32 Helios:0 LISTENING svchost.exe:1312 TCP Helios:epmap Helios:0 LISTENING svchost.exe:1352 UDP Helios:ntp *:* svchost.exe:1352 UDP helios:ntp *:* svchost.exe:1352 TCP helios:1038 65.55.184.26:https ESTABLISHED svchost.exe:1500 TCP Helios:2869 Helios:0 LISTENING svchost.exe:1500 UDP helios:1900 *:* svchost.exe:1500 UDP Helios:1900 *:* svchost.exe:2000 UDP helios:427 *:* svchost.exe:2000 UDP Helios:427 *:* System:4 TCP helios:netbios-ssn Helios:0 LISTENING System:4 TCP Helios:microsoft-ds Helios:0 LISTENING System:4 UDP helios:netbios-ns *:* System:4 UDP helios:netbios-dgm *:* System:4 UDP Helios:microsoft-ds *:* SDFIX: SDFix: Version 1.240 Run by h3lios on 15.06.2009 at 15:59 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-15 16:04:05 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools Lite\" "h0"=dword:00000000 "khjeh"=hex:31,df,88,e0,00,4e,83,87,3c,24,a4,aa,00,63,18,a0,b3,5a,ee,2b,c0,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,76,03,96,91,5e,15,22,a5,ea,a0,01,d5,26,aa,bd,4a,78,.. "khjeh"=hex:34,c8,f0,3b,1f,31,a9,6e,a7,39,e6,a0,f6,ae,72,b6,d6,e3,72,c8,7d,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:79,2f,89,8a,2b,9e,2a,fc,45,d5,e6,51,04,5e,e3,5d,fa,45,c0,da,f8,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools Lite\" "h0"=dword:00000000 "khjeh"=hex:31,df,88,e0,00,4e,83,87,3c,24,a4,aa,00,63,18,a0,b3,5a,ee,2b,c0,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,76,03,96,91,5e,15,22,a5,ea,a0,01,d5,26,aa,bd,4a,78,.. "khjeh"=hex:34,c8,f0,3b,1f,31,a9,6e,a7,39,e6,a0,f6,ae,72,b6,d6,e3,72,c8,7d,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:79,2f,89,8a,2b,9e,2a,fc,45,d5,e6,51,04,5e,e3,5d,fa,45,c0,da,f8,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM" "C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC" "C:\\Programme\\TerraTec\\InstTool.exe"="C:\\Programme\\TerraTec\\InstTool.exe:*:Enabled:TerraTec Home Cinema (Setup)" "C:\\Programme\\TerraTec\\CinergyDvr.exe"="C:\\Programme\\TerraTec\\CinergyDvr.exe:*:Enabled:TerraTec Home Cinema" "C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled  nkBstrA""C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled nkBstrB""G:\\utorrent161.exe"="G:\\utorrent161.exe:*:Enabled:ÊTorrent" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe:*:Enabled:Adobe Version Cue CS3 Server" "C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4" "C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe:*:Enabled:hpiscnapp.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe:*:Enabled:hpqgpc01.exe" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "D:\\3dMax 2009\\3dsmax.exe"="D:\\3dMax 2009\\3dsmax.exe:*:Enabled:Autodesk 3ds Max 9 32-bit" "D:\\3dMax 2009 Backburner\\monitor.exe"="D:\\3dMax 2009 Backburner\\monitor.exe:*:Enabled:backburner 2.3 monitor" "D:\\3dMax 2009 Backburner\\manager.exe"="D:\\3dMax 2009 Backburner\\manager.exe:*:Enabled:backburner 2.3 manager" "D:\\3dMax 2009 Backburner\\server.exe"="D:\\3dMax 2009 Backburner\\server.exe:*:Enabled:backburner 2.3 server" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "F:\\setup\\HPZnui01.exe"="F:\\setup\\HPZnui01.exe:*:Enabled:hpznui01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe:*:Enabled:hpiscnapp.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe:*:Enabled:hpqgpc01.exe" Remaining Files : Files with Hidden Attributes : Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Sun 14 Jun 2009 24,576 ..SH. --- "C:\program Files\Manson\liser.dll" Fri 12 Jun 2009 57,344 ..SHR --- "C:\program Files\Manson\liser.exe" Sun 26 Apr 2009 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Finished! BitDefender Log: BitDefender Online Scanner Scan report generated at: Mon, Jun 15, 2009 - 17:50:02 Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;K:\; Statistics Time 01:38:20 Files 1452900 Folders 13080 Boot Sectors 0 Archives 13739 Packed Files 148475 Results Identified Viruses 2 Infected Files 3 Suspect Files 0 Warnings 0 Disinfected 0 Deleted Files 3 Engines Info Virus Definitions 3348670 Engine build AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14) Scan plugins 17 Archive plugins 45 Unpack plugins 7 E-mail plugins 6 System plugins 4 Scan Settings First Action Disinfect Second Action Delete Heuristics Yes Enable Warnings Yes Scanned Extensions *; Exclude Extensions Scan Emails Yes Scan Archives Yes Scan Packed Yes Scan Files Yes Scan Boot Yes Scanned File Status C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACpvtqhhilvqyrrle.sys.vir Infected with: Rootkit.TDSs.W C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACpvtqhhilvqyrrle.sys.vir Deleted C:\System Volume Information\_restore{5C1B30B8-8852-4443-9D9C-91B66D65FC7C}\RP210\A0048155.sys Infected with: Rootkit.TDSs.W C:\System Volume Information\_restore{5C1B30B8-8852-4443-9D9C-91B66D65FC7C}\RP210\A0048155.sys Deleted C:\WINDOWS\system32\uactmp.db Infected with: Trojan.Script.74909 C:\WINDOWS\system32\uactmp.db Deleted Und hier das neue ComboFix Log mit dem oben beschriebenen schoenen KILLALL Script ComboFix 09-06-14.02 - h3lios 15.06.2009 18:22.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2558 [GMT 2:00] ausgef¸hrt von:: c:\dokumente und einstellungen\h3lios\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\h3lios\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\windows\zaponce53290.dat" . (((((((((((((((((((((((((((((((((((( Weitere Lˆschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\zaponce53290.dat . ((((((((((((((((((((((( Dateien erstellt von 2009-05-15 bis 2009-06-15 )))))))))))))))))))))))))))))) . 2009-06-15 14:09 . 2009-06-15 15:54 -------- d-----w- c:\windows\BDOSCAN8 2009-06-15 13:57 . 2009-06-15 13:57 -------- d-----w- c:\windows\ERUNT 2009-06-15 13:40 . 2009-06-15 14:05 -------- d-----w- C:\SDFix 2009-06-13 22:11 . 2009-06-13 22:11 -------- d-----w- c:\programme\CCleaner 2009-06-13 20:44 . 2009-06-13 20:44 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Malwarebytes 2009-06-13 20:40 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-13 20:40 . 2009-06-13 20:41 -------- d-----w- c:\programme\RESCUE 2009-06-13 20:40 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-13 14:01 . 2009-06-13 14:01 -------- d-----w- C:\program Files 2009-06-13 13:38 . 2009-06-13 13:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Autodesk Shared 2009-06-13 12:17 . 2009-06-13 12:17 -------- d-----w- c:\windows\Downloaded Installations 2009-05-19 15:57 . 2009-05-19 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software 2009-05-18 13:11 . 2009-05-18 13:12 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume Avenue 3 2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume 2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3 2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\programme\Resolume Avenue 3.0.1 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-14 20:46 . 2008-11-16 12:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-06-13 14:07 . 2008-11-16 12:31 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Skype 2009-06-13 13:41 . 2008-11-18 21:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk 2009-06-13 13:38 . 2008-11-18 21:04 -------- d-----w- c:\programme\Autodesk 2009-06-13 12:14 . 2009-01-01 13:54 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\uTorrent 2009-06-13 10:21 . 2009-02-25 10:10 334912 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\cgamex86.dll 2009-06-13 10:21 . 2009-02-25 10:10 171072 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\uix86.dll 2009-06-13 09:49 . 2009-03-15 14:14 138944 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-06-13 09:49 . 2009-03-15 14:14 189784 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-06-13 09:49 . 2009-02-25 10:10 874660 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbcl.dll 2009-06-13 09:49 . 2009-02-25 10:10 57344 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbag.dll 2009-06-13 09:49 . 2009-02-25 10:10 479232 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbsv.dll 2009-06-13 09:49 . 2009-02-25 10:10 2669632 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\quakelive.dll 2009-06-10 17:50 . 2009-02-25 10:10 449600 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\qagamex86.dll 2009-06-09 19:32 . 2008-11-16 12:29 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\mIRC 2009-06-09 17:05 . 2008-11-16 12:29 -------- d-----w- c:\programme\mIRC 2009-06-01 21:58 . 2008-12-01 19:45 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\dvdcss 2009-06-01 21:01 . 2009-05-12 18:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\America's Army Deploy Client 2009-05-27 16:15 . 2008-11-16 12:19 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-23 23:10 . 2008-11-16 12:27 -------- d-----w- c:\programme\SpeedFan 2009-05-19 16:00 . 2009-01-03 16:35 75064 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys 2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys 2009-05-19 15:57 . 2009-03-15 14:14 2246144 ----a-w- c:\windows\system32\pbsvc.exe 2009-05-07 17:12 . 2009-05-07 17:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG 2009-05-07 17:12 . 2009-05-07 16:58 188816 ----a-w- c:\windows\hpoins31.dat 2009-05-07 17:10 . 2009-03-22 20:41 -------- d-----w- c:\programme\HP 2009-05-07 17:08 . 2009-03-22 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP 2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant 2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Hewlett-Packard 2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\HP 2009-05-05 18:54 . 2009-05-05 18:50 -------- d-----w- c:\programme\SopCast 2009-05-05 08:51 . 2009-05-05 08:51 625728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll 2009-05-04 18:58 . 2008-11-16 12:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-04-26 12:21 . 2009-04-26 12:21 -------- d-----w- c:\programme\Windows Media Connect 2 2009-04-23 13:45 . 2009-04-23 13:45 64160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys 2009-04-23 13:45 . 2009-03-12 14:46 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys 2009-04-23 13:09 . 2008-11-16 11:40 188616 -c--a-w- c:\dokumente und einstellungen\h3lios\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-23 11:15 . 2009-04-23 11:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Control Panels 2009-04-23 11:14 . 2009-04-23 11:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2009-04-23 11:04 . 2009-04-23 11:04 -------- d-----w- c:\programme\Bonjour 2009-04-23 11:01 . 2009-04-23 11:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2009-04-23 10:53 . 2009-04-23 10:53 3584 ----a-r- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe 2009-04-23 10:53 . 2009-04-23 10:53 -------- d-----w- c:\programme\Windows Installer Clean Up 2009-04-23 10:52 . 2009-04-23 10:52 -------- d-----w- c:\programme\MSECACHE 2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\programme\QuickTime 2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-04-16 15:52 . 2006-02-28 11:00 72688 -c--a-w- c:\windows\system32\perfc007.dat 2009-04-16 15:52 . 2006-02-28 11:00 411596 -c--a-w- c:\windows\system32\perfh007.dat 2009-03-29 11:24 . 2009-03-29 11:24 3532 ----a-w- C:\drmHeader.bin 2008-12-01 19:49 . 2008-12-01 19:49 28 -c--a-w- c:\programme\deviceinfo . ((((((((((((((((((((((((((((( SnapShot@2009-06-14_21.33.23 ))))))))))))))))))))))))))))))))))))))))) . + 2009-01-05 13:44 . 2009-01-05 13:44 53248 c:\windows\bdoscandel.exe + 2009-06-15 14:09 . 2009-06-15 14:09 86016 c:\windows\BDOSCAN8\librtvr.dll + 2009-06-15 14:09 . 2009-06-15 14:09 27136 c:\windows\BDOSCAN8\avxt.dll + 2009-06-15 14:09 . 2009-06-15 14:09 10240 c:\windows\BDOSCAN8\avxs.dll + 2009-06-15 14:09 . 2009-06-15 14:09 45056 c:\windows\BDOSCAN8\avxdisk.dll + 2009-06-15 16:20 . 2009-06-15 16:20 401920 c:\windows\system32\CF30416.exe + 2009-06-15 13:57 . 2009-06-15 13:57 225280 c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat + 2009-06-15 13:57 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2009-06-15 13:57 . 2009-06-15 13:57 225280 c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2009-06-15 13:57 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE + 2009-01-05 13:44 . 2009-01-05 13:44 741376 c:\windows\Downloaded Program Files\ipsupd.dll + 2009-01-05 13:44 . 2009-06-15 14:09 142848 c:\windows\BDOSCAN8\libfn.dll + 2009-01-05 13:44 . 2009-01-05 13:44 741376 c:\windows\BDOSCAN8\ipsupd.dll + 2009-01-05 13:44 . 2009-06-15 14:09 102400 c:\windows\BDOSCAN8\bdcore.dll + 2009-06-15 13:57 . 2009-06-15 13:57 7258112 c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT + 2009-06-15 13:57 . 2009-06-15 13:57 7258112 c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\ SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^h3lios^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk] path=c:\dokumente und einstellungen\h3lios\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NBService"=3 (0x3) "Ati HotKey Poller"=2 (0x2) "NMIndexingService"=3 (0x3) "JavaQuickStarterService"=2 (0x2) "Adobe Version Cue CS2"=2 (0x2) "Adobe LM Service"=3 (0x3) "aawservice"=2 (0x2) "mi-raysat_3dsMax2008_32"=2 (0x2) "Pml Driver HPZ12"=2 (0x2) "ATI Smart"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Miranda IM\\miranda32.exe"= "c:\\Programme\\mIRC\\mirc.exe"= "c:\\Programme\\TerraTec\\InstTool.exe"= "c:\\Programme\\TerraTec\\CinergyDvr.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "g:\\utorrent161.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "d:\\3dMax 2009\\3dsmax.exe"= "d:\\3dMax 2009 Backburner\\monitor.exe"= "d:\\3dMax 2009 Backburner\\manager.exe"= "d:\\3dMax 2009 Backburner\\server.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server "5353:TCP"= 5353:TCP:Adobe CSI CS4 "427:UDP"= 427:UDP:SLP_Port(427) "8085:TCP"= 8085:TCP odmenaR0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12.03.2009 16:46 64160] S2 bdofiec;bdofiec;c:\windows\system32\drivers\dmvsxim.sys --> c:\windows\system32\drivers\dmvsxim.sys [?] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1005904] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [16.11.2008 14:13 79360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners 2009-06-15 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:45] 2009-06-15 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-03-25 21:18] . . ------- Zus‰tzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anf¸gen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verkn¸pfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-15 18:26 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteintr‰ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1024) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(788) c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Creative\Shared Files\CTAudSvc.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe c:\programme\Bonjour\mDNSResponder.exe d:\3dmax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe c:\windows\system32\PnkBstrA.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe c:\windows\system32\CF30416.exe c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\system32\wscntfy.exe c:\programme\Lavasoft\Ad-Aware\AAWTray.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-06-15 18:29 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-06-15 16:29 ComboFix2.txt 2009-06-14 21:35 Vor Suchlauf: 9 Verzeichnis(se), 57.176.449.024 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 57.166.716.928 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 269 --- E O F --- 2009-05-13 22:45 Hui, das hat jetzt einige Zeit gedauert, aber es sieht schon viel besser aus als vorher, oder? Rein interessehalber: Was machte denn diese zaponce53290.dat eigentlich? Ich habe jetzt auch gleich nochmal Antivir, Spybot Search & Destroy und AdAware geupdatet. Dieser Beitrag wurde am 15.06.2009 um 18:58 Uhr von Mopsy editiert.
|
|
|
|
|
|
|
15.06.2009, 19:30
Moderator
Beiträge: 5694 |
#12
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". >> Lasse folgende Datei bei www.Virustotal.com/de prüfen und poste das Ergebnis: C:\program Files\Manson\liser.dll C:\program Files\Manson\liser.exe >> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Folders to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) UAC in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. Das gleiche mit: PODMENA Gruss Swiss |
|
|
|
|
|
|
15.06.2009, 19:42
Member
Themenstarter Beiträge: 11 |
#13
S&D Teatimer ist deaktiviert.
Der Program Files Ordner ist komplett leer (Trotz eingeblendeter versteckter Dateien und Suche nach versteckten Dateien). Beide Dateien sind nicht auffindbar. Haengt das vielleicht damit zusammen, dass ich die besagte Liser Geschichte per msconfig aus dem Autostart entfernt habe? Soll ich einfach mit Avenger fortfahren? EDIT: Ich habe gerade nachgeschaut und unter msconfig -> autostart ist der Eintrag von liser noch vorhanden, aber ohne Haken davor. Dieser Beitrag wurde am 15.06.2009 um 19:46 Uhr von Mopsy editiert.
|
|
|
|
|
|
|
15.06.2009, 19:53
Moderator
Beiträge: 5694 |
#14
Gib mal einfach die Datein per kopieren und einfügen auf Virustotal ein:
Zitat oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren>> Dann führe den Rest durch. Gruss Swiss |
|
|
|
|
|
|
15.06.2009, 19:59
Member
Themenstarter Beiträge: 11 |
#15
Also, ich kann in die Commandozeile auf Virustotal.com/de keinen Pfad pasten. Auch wenn
ich auf Durchsuchen klicke und in das program Files Folder gehe und dann unten einen der beiden Namen manuell eintippe funktioniert es nicht. Es heisst dann bloss: Datei konnte nicht gefunden werden. ueberpruefen Sie den Dateinamen. Habe Avenger schon laufen gelassen - Hier das Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\program Files\Manson" deleted successfully. Completed script processing. ******************* Finished! Terminate. Ich hoffe ich war jetzt nicht zu voreilig... EDIT: Oh, jetzt habe ich die Ursache gefunden. Bei einem der zahlreichen Neustarts muss irgendein Programm die Ordnersichtbarkeitseinstellungen zurückgesetzt haben. Jetzt ist der Ordner Program Files jedenfalls wirklich leer. Entschuldige, da habe ich nicht aufgepasst. Dieser Beitrag wurde am 15.06.2009 um 20:05 Uhr von Mopsy editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe ein tiefgreifendes Problem. Ich beginne ganz von vorne, damit es besser
nachzuvollziehen ist, wie ich bisher versucht habe die Trojaner und anderen Dinge zu
vertreiben.
Es begann mit dem Klick auf einen gefaehrlichen, mir zugesendeten Link. Firefox
stuerzte ab und ich klickte dummerweise auch noch auf “Sitzung wiederherstellen”, da
ich andere wichtige Tabs geoeffnet hatte und diese nicht “verlieren” wollte. Der Browser
stuerzte ereut ab. Eine Minute spaeter sprang Antivir an und gab mir eine Trojaner
Warnung.
Ich ahnte Schlimmes und startete einen Antivir Full System Scan, der alle infizierten
Dateien in Quarantaene schicken sollte. Nach 5 Minuten aenderte sich mein
DesktopHintergrund. Dort stand auf einmal in grossen roten Buchstaben “WARNING!
EVERYTHING YOU DO WILL BE LOGGED!”.
Ich zog sofort das Internetkabel aus meinem PC. Dann oeffnete sich im zwei Minutentakt
der Internetexplorer und versuchte auf eine Website zu connecten
(greatmarketingexperience.com oder so aehnlich). Ein Fake Security Manager forderte
mich ca. alle 30 Sek. dazu auf sofort ein verfuegbares Update zu installieren. Zusaetzlich
kam alle paar Minuten eine Fehlermeldung, die mir sagete, ich solle das Update sofort
installieren, weil mein PC unter “dangerous hazard” stehe.
Antivir kam bis 20%, dann gab es einen Blackscreen, anschliessend einen Bluescreen
und danach einen Rechnerneustart. Ich startete Antivir, loeschte die Dateien in der
Quarantaene um wenigstens die schonmal los zu sein und fuhr den PC herunter.
Dann startete ich meinen Laptop und begann mit dem aendern meiner Passwoerter fuer
das Onlinebanking \ E-Mail Accounts und so weiter.
Ein Freund riet mir dann, es im abgesicherten Modus zu versuchen. Gesagt, getan.
Bilanz: Spybot Search and Destroy, sowie Antivir waren nicht ausfuehrbar.
Mein Kollege hat mir dann geraten, die Avira Antivir Rescue CD bzw. das Avira Antivir
Rescue System zu verwenden. Ich lud also das besagte ISO herunter, brannte es auf
eine CD, bootete meinen verseuchten Rechner von der CD, lies den Scan durchlaufen
und entdeckte folgende Trojaner:
TR/Alureon.BP.4
(Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Temp\UAC2c28.tmp)
TR/TDss.aegg
TR/TDss.aebu
TR/TDss.adzz
TR/TDss.adzx.1
TR/PCK.Tdss.M.246
(Allesamt dll’s im system32 Ordner von Windows. Langes Buchstabenkauderwelsch mit UAC am Anfang.)
Ich lies das Avira Rescue System seine Arbeit verrichten und es loeschte die 6
gefundenen Trojaner, nachdem eine Reparatur der infizierten Dateien nicht moeglich war.
Dann habe ich den Rechner neugestartet und immerhin der Desktophintergrund war
wieder normal, und der Rechner zeigt keine Systeminstabilitaet mehr (also stuerzt nicht
mehr ab, wenn ich Antivir oder dergleichen ausfuehre).
Der aktuelle Stand sieht jetzt wie folgt aus:
Spybot Search & Destroy findet bei jedem(!) Scan – trotz mehrfacher Klicks auf “Fehler
beheben” - die folgenden Dinge:
Microsoft.WindowsSecurityCenter_disabled
(SBI $2E20C9A9) Einstellungen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start (is not) W=2
Win32.TDSS.rtk
(SBI $7247D553) File
C:\WINDOWS\system32\drivers\UACpvtqhhilvqyrrle.sys
(SBI $6665A6E1) File
C:\WINDOWS\system32\UACpkbrjuddskhvrma.log
(SBI $83AE5231) File
C:\WINDOWS\system32\UACvqslkffmxlakrew.dat
(SBI $33BC16BB) File
C:\WINDOWS\system32\UAChdxxiqscckfemde.dll
(SBI $33BC16BB) File
C:\WINDOWS\system32\uacinit.dll
Malwarebytes Antimalware findet bei jedem(!) Scan – trotz mehrfacher Klicks auf “Fehler
beheben” - folgendes:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2202
Windows 5.1.2600 Service Pack 3
14.06.2009 11:27:59
mbam-log-2009-06-14 (11-27-56).txt
Scan-Methode: Vollst‰ndiger Scan (C:\|)
Durchsuchte Objekte: 194392
Laufzeit: 18 minute(s), 45 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse: (Keine boesartigen Objekte gefunden)
Infizierte Speichermodule: (Keine boesartigen Objekte gefunden)
Infizierte Registrierungsschluessel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.
Infizierte Registrierungswerte: (Keine boesartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: (Keine boesartigen Objekte gefunden)
Infizierte Verzeichnisse: (Keine boesartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
Strg+Alt+Entf – Ich habe mit dem Klammergriff geschaut welche Prozesse ich nicht
kenne.
Liser.exe identifiziert. Angeblich unter C\Program Files\Manson\Liser.exe zu finden. Ist im
Ordner “Program Files” aber nicht auffindbar, obwohl versteckte Dateien angezeigt
werden.
Mit “Ausfuehren \ msconfig” Liser.exe aus dem Autostart entfernt. Allerdings bisher keine
Moeglichkeit gefunden es komplett zu entfernen.
HijackThis findet zur Zeit die folgenden Dinge (Ich habe auf Grund von Unsicherheit noch
keine Aktion ergriffen):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:48, on 14.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
D:\3dMax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anf¸gen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verkn¸pfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\Manson\liser.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\3dMax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
--
End of file - 6614 bytes
CCleaner habe ich jetzt nochmal benutzt. Sowohl
fuer die temporaeren Dateien, als auch fuer die Registry, habe soweit alles behoben was
es zu beheben gab (mehrfach analysiert und behoben).
Das wars. Uff. Ich frage mich gerade, ob es ueberhaupt Sinn macht noch zu versuchen
das System von der ganzen Malware zu befreien.
Nun denn: Ich hoffe mir kann irgendjemand beratend zur Seite stehen und moechte
mich bereits im Voraus fuer jegliche Hilfe herzlich bedanken!
Achso bevor ich es vergesse, entschuldigt bitte die ue, ae, und oe Fehler. Ich habe einen
Laptop mit amerikanischem Tastaturlayout.
Viele Gruesse,
Mopsy