Manson\Lister.exe, Trojan.Agent ("UAC Familie"), Win32.TDSS.rtk - Entfernung

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.06.2009, 18:44
Member

Beiträge: 11
#1 Einen schoenen guten Tag,

Ich habe ein tiefgreifendes Problem. Ich beginne ganz von vorne, damit es besser
nachzuvollziehen ist, wie ich bisher versucht habe die Trojaner und anderen Dinge zu
vertreiben.

Es begann mit dem Klick auf einen gefaehrlichen, mir zugesendeten Link. Firefox
stuerzte ab und ich klickte dummerweise auch noch auf “Sitzung wiederherstellen”, da
ich andere wichtige Tabs geoeffnet hatte und diese nicht “verlieren” wollte. Der Browser
stuerzte ereut ab. Eine Minute spaeter sprang Antivir an und gab mir eine Trojaner
Warnung.

Ich ahnte Schlimmes und startete einen Antivir Full System Scan, der alle infizierten
Dateien in Quarantaene schicken sollte. Nach 5 Minuten aenderte sich mein
DesktopHintergrund. Dort stand auf einmal in grossen roten Buchstaben “WARNING!
EVERYTHING YOU DO WILL BE LOGGED!”
.

Ich zog sofort das Internetkabel aus meinem PC. Dann oeffnete sich im zwei Minutentakt
der Internetexplorer und versuchte auf eine Website zu connecten
(greatmarketingexperience.com oder so aehnlich). Ein Fake Security Manager forderte
mich ca. alle 30 Sek. dazu auf sofort ein verfuegbares Update zu installieren. Zusaetzlich
kam alle paar Minuten eine Fehlermeldung, die mir sagete, ich solle das Update sofort
installieren, weil mein PC unter “dangerous hazard” stehe.

Antivir kam bis 20%, dann gab es einen Blackscreen, anschliessend einen Bluescreen
und danach einen Rechnerneustart. Ich startete Antivir, loeschte die Dateien in der
Quarantaene um wenigstens die schonmal los zu sein und fuhr den PC herunter.
Dann startete ich meinen Laptop und begann mit dem aendern meiner Passwoerter fuer
das Onlinebanking \ E-Mail Accounts und so weiter.

Ein Freund riet mir dann, es im abgesicherten Modus zu versuchen. Gesagt, getan.
Bilanz: Spybot Search and Destroy, sowie Antivir waren nicht ausfuehrbar.

Mein Kollege hat mir dann geraten, die Avira Antivir Rescue CD bzw. das Avira Antivir
Rescue System zu verwenden. Ich lud also das besagte ISO herunter, brannte es auf
eine CD, bootete meinen verseuchten Rechner von der CD, lies den Scan durchlaufen
und entdeckte folgende Trojaner:

TR/Alureon.BP.4
(Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Temp\UAC2c28.tmp)

TR/TDss.aegg
TR/TDss.aebu
TR/TDss.adzz
TR/TDss.adzx.1
TR/PCK.Tdss.M.246
(Allesamt dll’s im system32 Ordner von Windows. Langes Buchstabenkauderwelsch mit UAC am Anfang.)

Ich lies das Avira Rescue System seine Arbeit verrichten und es loeschte die 6
gefundenen Trojaner, nachdem eine Reparatur der infizierten Dateien nicht moeglich war.

Dann habe ich den Rechner neugestartet und immerhin der Desktophintergrund war
wieder normal, und der Rechner zeigt keine Systeminstabilitaet mehr (also stuerzt nicht
mehr ab, wenn ich Antivir oder dergleichen ausfuehre).





Der aktuelle Stand sieht jetzt wie folgt aus:




Spybot Search & Destroy findet bei jedem(!) Scan – trotz mehrfacher Klicks auf “Fehler
beheben” - die folgenden Dinge:


Microsoft.WindowsSecurityCenter_disabled

(SBI $2E20C9A9) Einstellungen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start (is not) W=2


Win32.TDSS.rtk

(SBI $7247D553) File
C:\WINDOWS\system32\drivers\UACpvtqhhilvqyrrle.sys

(SBI $6665A6E1) File
C:\WINDOWS\system32\UACpkbrjuddskhvrma.log

(SBI $83AE5231) File
C:\WINDOWS\system32\UACvqslkffmxlakrew.dat

(SBI $33BC16BB) File
C:\WINDOWS\system32\UAChdxxiqscckfemde.dll

(SBI $33BC16BB) File
C:\WINDOWS\system32\uacinit.dll




Malwarebytes Antimalware findet bei jedem(!) Scan – trotz mehrfacher Klicks auf “Fehler
beheben” - folgendes:


Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2202
Windows 5.1.2600 Service Pack 3
14.06.2009 11:27:59
mbam-log-2009-06-14 (11-27-56).txt

Scan-Methode: Vollst‰ndiger Scan (C:\|)
Durchsuchte Objekte: 194392
Laufzeit: 18 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse: (Keine boesartigen Objekte gefunden)
Infizierte Speichermodule: (Keine boesartigen Objekte gefunden)

Infizierte Registrierungsschluessel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.

Infizierte Registrierungswerte: (Keine boesartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: (Keine boesartigen Objekte gefunden)
Infizierte Verzeichnisse: (Keine boesartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.




Strg+Alt+Entf – Ich habe mit dem Klammergriff geschaut welche Prozesse ich nicht
kenne.

Liser.exe identifiziert. Angeblich unter C\Program Files\Manson\Liser.exe zu finden. Ist im
Ordner “Program Files” aber nicht auffindbar, obwohl versteckte Dateien angezeigt
werden.

Mit “Ausfuehren \ msconfig” Liser.exe aus dem Autostart entfernt. Allerdings bisher keine
Moeglichkeit gefunden es komplett zu entfernen.




HijackThis findet zur Zeit die folgenden Dinge (Ich habe auf Grund von Unsicherheit noch
keine Aktion ergriffen):


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:48, on 14.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
D:\3dMax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anf¸gen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verkn¸pfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\Manson\liser.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\3dMax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
--
End of file - 6614 bytes



CCleaner habe ich jetzt nochmal benutzt. Sowohl
fuer die temporaeren Dateien, als auch fuer die Registry, habe soweit alles behoben was
es zu beheben gab (mehrfach analysiert und behoben).




Das wars. Uff. Ich frage mich gerade, ob es ueberhaupt Sinn macht noch zu versuchen
das System von der ganzen Malware zu befreien.
Nun denn: Ich hoffe mir kann irgendjemand beratend zur Seite stehen und moechte
mich bereits im Voraus fuer jegliche Hilfe herzlich bedanken!

Achso bevor ich es vergesse, entschuldigt bitte die ue, ae, und oe Fehler. Ich habe einen
Laptop mit amerikanischem Tastaturlayout.


Viele Gruesse,
Mopsy
Dieser Beitrag wurde am 14.06.2009 um 20:21 Uhr von Mopsy editiert.
Seitenanfang Seitenende
14.06.2009, 19:10
Moderator

Beiträge: 5694
#2 Hallo

Du hast einen Rootkit auf dem System:

Wenn Du Onlinebanking machst oder viele wichtige Daten auf dem System hast, dann rate ich Dir das Neu aufzusetzen.

Ansonsten reinigen wir:

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O20 - AppInit_DLLs: c:\progra~1\Manson\liser.dll
und wähle fix checked.

Starte den Rechner neu.


>>
Start -> ausführen -> gib ein: devmgmt.msc
Es öffnet sich der Geräte-Manager
Im Menü unter dem Reiter Ansicht -> Ausgeblendete Geräte anzeigen wählen.
Nicht-PnP-Treiber aufklappen (auf das +Zeichen drücken).
Suche nach dem Treiber TDSSserv.sys (oder ähnlich).
Rechtsklick auf den Treiber -> Deaktivieren wählen.
Rechner neu starten.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Blacklight – Rootkit Erkennungs-und-Elimination Program
fsbl.exe
- Lade F-Secure Blacklight auf das Desktop
- Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
- Klicke "I accept the agreement", "Next", "Scan".
- wenn der Scan zu Ende ist, wähle "Close".
- Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten

poste das Log

Gruss Swiss
Seitenanfang Seitenende
14.06.2009, 19:38
Member

Themenstarter

Beiträge: 11
#3 Hallo Swiss,

vielen Dank fuer die schnelle Antwort. Ich habe noch ein paar Verstaendnisfragen. Ich
betreibe z.B. Onlinebanking, habe das Passwort aber bereits kurz nach der ersten
Virusmeldung geandert - Bestuende dann noch Gefahr fuer den Account, wenn ich jetzt
eine normale "Reinigung" nach deiner Anleitung ausfuehren, aber keine Neuinstallation
in Erwaegung ziehen wuerde?
An wichtigen Daten, habe ich z.B. eine Personalsuweiskopie und Kopien von Zeugnissen
auf dem Rechner. Ich bin gerade etwas unsicher wie ich fortfahren soll.

Mit anderen Worten: Was fuer Moeglichkeiten hat jemand denn mit so einem Rootkit?

Und: Kann ich zu diesem Zeitpunkt ueberhaupt Daten gefahrlos sichern?

Gruss,
Mopsy



EDIT1:

Ich habe einfach mal mit deiner Anleitung begonnen.

Schritt 1 (Hijackthis) hat funktioniert.
Schritt 2 bereitet Probleme.
Ich habe in dem Pull Down Menue fuer Nicht-PNP-Treiber keinen Eintrag im Sinne von
TDSSserv.sys gefunden - Oder ist es eventuell "ssmdrv"? Zwei Treiber sind jedoch mit
einem Ausrufezeichen versehen (Parport und podmenadrv). Soll ich trotzdem mit
Combofix weitermachen?

Hier mal eine Liste von den Treibern, die vorhanden sind:

1394-ARP-Clientprotokoll
adfs
AFD
avgio
avipbb
Beep
Creative 20X HAL Driver
Creative AC3 Software Decoder
Creative OS Services Driver
Creative Proxy Driver
Creative SoundFoont Managment Device Driver
CT20XUT.DLL
CTEXFIFX.DLL
CTHWIUT.DLL
dmboot
dmload
E-mu Plug-in Architecture Driver
Fips
giveio
HTTP
IP-Netzwerkadressuebersetzung
IPSEC-Treiber
ksecdd
mnmdd
mountmgr
NDIS-Benutzermodus-E/A-Protokoll
NDIS-Systemtreiber
NDProxy
Netbios ueber TCP/IP
Null
Parport
PartMgr
ParVdm
podmenadrv
RAS-IP-ARP-Treiber
RAS-NDIS-TAPI-Treiber
RDPCDD
RivaTuner32
Secdrv
speedfan
sptd
ssmdrv
Standardpaketklassifizierung
TCP/IP-Protokolltreiber
Treiber fuer atomatische RAS-Verbindung
VgaSave
VolSnap
Wdf01000
Dieser Beitrag wurde am 14.06.2009 um 22:14 Uhr von Mopsy editiert.
Seitenanfang Seitenende
14.06.2009, 23:00
Moderator

Beiträge: 5694
#4 >>
Also wenn du die Passwörter alle geändert hast und nun das System reinigst, solltest Du die Passwörter am Schluss nochmals ändern.
Hier siehst du wass ein rootkit ist:
http://de.wikipedia.org/wiki/Rootkit


Ich kann Dir die Entscheidung nicht abnehmen. Aber scanne nun einfach mal mit Combofix und Blacklight poste die Reporte. Dann werden wir mal schaun was noch so vorhanden ist.

>>
ssmdrv gehört zu AVIRA

Gruss swiss
Seitenanfang Seitenende
14.06.2009, 23:51
Member

Themenstarter

Beiträge: 11
#5 Guten Abend,

vielen Dank fuer den Link - Das hat mir einiges klar gemacht.

Hier nun beide Logs:
Anmerkung: Combofix machte mich darauf aufmerksam, dass keine Microsoft
Wiederherstellungskonsole vorhanden ist und deswegen sehr tiefgreifende Infizierungen
nicht behoben werden koennten (so in etwa). Ich habe zur Sicherheit keine
Internetverbindung hergestellt und es ohne Konsole durchlaufen lassen.




Combofix Log:


ComboFix 09-06-13.09 - h3lios 14.06.2009 23:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2641 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\h3lios\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Lˆschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\podmena
c:\windows\system32\drivers\SKYNETixdgausj.sys
c:\windows\system32\drivers\UACpvtqhhilvqyrrle.sys
c:\windows\system32\UACauqtxspqmfacqqn.log
c:\windows\system32\UACcsnkacgwmoqfgam.dll
c:\windows\system32\UACdvxtlkomufottkv.db
c:\windows\system32\UACefntyqyrpcdpimc.dll
c:\windows\system32\UAChdxxiqscckfemde.dll
c:\windows\system32\UACkxlcutucniqxvpp.dll
c:\windows\system32\UAConuntbewqbhdeut.log
c:\windows\system32\UACpkbrjuddskhvrma.log
c:\windows\system32\UACqbgtchwhxhmurqe.dll
c:\windows\system32\UACtkmnwyafcbnjdkg.dll
c:\windows\system32\UACvqslkffmxlakrew.dat
c:\programme\podmena\podmena.dll
C:\tj.vbs
c:\windows\system32\drivers\SKYNETixdgausj.sys
c:\windows\system32\drivers\UACpvtqhhilvqyrrle.sys
c:\windows\system32\SKYNETnucvaguw.dat
c:\windows\system32\SKYNETrmiejpqn.dll
c:\windows\system32\SKYNETwwqugtku.dll
c:\windows\system32\UACauqtxspqmfacqqn.log
c:\windows\system32\UACcsnkacgwmoqfgam.dll
c:\windows\system32\UACdvxtlkomufottkv.db
c:\windows\system32\UACefntyqyrpcdpimc.dll
c:\windows\system32\UAChdxxiqscckfemde.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACkxlcutucniqxvpp.dll
c:\windows\system32\UAConuntbewqbhdeut.log
c:\windows\system32\UACpkbrjuddskhvrma.log
c:\windows\system32\UACqbgtchwhxhmurqe.dll
c:\windows\system32\UACtkmnwyafcbnjdkg.dll
c:\windows\system32\UACvqslkffmxlakrew.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_PODMENA
-------\Legacy_PODMENADRV
-------\Service_podmena
-------\Service_podmenadrv
-------\Service_SKYNETwjfevqvn


((((((((((((((((((((((( Dateien erstellt von 2009-05-14 bis 2009-06-14 ))))))))))))))))))))))))))))))
.

2009-06-13 22:11 . 2009-06-13 22:11 -------- d-----w- c:\programme\CCleaner
2009-06-13 20:44 . 2009-06-13 20:44 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Malwarebytes
2009-06-13 20:40 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 20:40 . 2009-06-13 20:41 -------- d-----w- c:\programme\RESCUE
2009-06-13 20:40 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 14:02 . 2009-06-13 14:02 2 ---h--w- c:\windows\zaponce53290.dat
2009-06-13 14:01 . 2009-06-13 14:01 -------- d-----w- C:\program Files
2009-06-13 13:38 . 2009-06-13 13:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-06-13 12:17 . 2009-06-13 12:17 -------- d-----w- c:\windows\Downloaded Installations
2009-05-19 15:57 . 2009-05-19 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software
2009-05-18 13:11 . 2009-05-18 13:12 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume Avenue 3
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\programme\Resolume Avenue 3.0.1

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-14 20:46 . 2008-11-16 12:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-13 14:07 . 2008-11-16 12:31 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Skype
2009-06-13 13:41 . 2008-11-18 21:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-06-13 13:38 . 2008-11-18 21:04 -------- d-----w- c:\programme\Autodesk
2009-06-13 12:14 . 2009-01-01 13:54 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\uTorrent
2009-06-13 10:21 . 2009-02-25 10:10 334912 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\cgamex86.dll
2009-06-13 10:21 . 2009-02-25 10:10 171072 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\uix86.dll
2009-06-13 09:49 . 2009-03-15 14:14 138944 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-06-13 09:49 . 2009-03-15 14:14 189784 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-06-13 09:49 . 2009-02-25 10:10 874660 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbcl.dll
2009-06-13 09:49 . 2009-02-25 10:10 57344 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbag.dll
2009-06-13 09:49 . 2009-02-25 10:10 479232 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbsv.dll
2009-06-13 09:49 . 2009-02-25 10:10 2669632 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\quakelive.dll
2009-06-10 17:50 . 2009-02-25 10:10 449600 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\qagamex86.dll
2009-06-09 19:32 . 2008-11-16 12:29 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\mIRC
2009-06-09 17:05 . 2008-11-16 12:29 -------- d-----w- c:\programme\mIRC
2009-06-01 21:58 . 2008-12-01 19:45 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\dvdcss
2009-06-01 21:01 . 2009-05-12 18:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\America's Army Deploy Client
2009-05-27 16:15 . 2008-11-16 12:19 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-23 23:10 . 2008-11-16 12:27 -------- d-----w- c:\programme\SpeedFan
2009-05-19 16:00 . 2009-01-03 16:35 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys
2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys
2009-05-19 15:57 . 2009-03-15 14:14 2246144 ----a-w- c:\windows\system32\pbsvc.exe
2009-05-07 17:12 . 2009-05-07 17:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2009-05-07 17:12 . 2009-05-07 16:58 188816 ----a-w- c:\windows\hpoins31.dat
2009-05-07 17:10 . 2009-03-22 20:41 -------- d-----w- c:\programme\HP
2009-05-07 17:08 . 2009-03-22 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Hewlett-Packard
2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2009-05-05 18:54 . 2009-05-05 18:50 -------- d-----w- c:\programme\SopCast
2009-05-05 08:51 . 2009-05-05 08:51 625728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll
2009-05-04 18:58 . 2008-11-16 12:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-04-26 12:21 . 2009-04-26 12:21 -------- d-----w- c:\programme\Windows Media Connect 2
2009-04-23 13:45 . 2009-04-23 13:45 64160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-04-23 13:45 . 2009-03-12 14:46 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-04-23 13:09 . 2008-11-16 11:40 188616 -c--a-w- c:\dokumente und einstellungen\h3lios\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-23 11:15 . 2009-04-23 11:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Control Panels
2009-04-23 11:14 . 2009-04-23 11:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-04-23 11:04 . 2009-04-23 11:04 -------- d-----w- c:\programme\Bonjour
2009-04-23 11:01 . 2009-04-23 11:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-23 10:53 . 2009-04-23 10:53 3584 ----a-r- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe
2009-04-23 10:53 . 2009-04-23 10:53 -------- d-----w- c:\programme\Windows Installer Clean Up
2009-04-23 10:52 . 2009-04-23 10:52 -------- d-----w- c:\programme\MSECACHE
2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\programme\QuickTime
2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-04-16 15:52 . 2006-02-28 11:00 72688 -c--a-w- c:\windows\system32\perfc007.dat
2009-04-16 15:52 . 2006-02-28 11:00 411596 -c--a-w- c:\windows\system32\perfh007.dat
2009-03-29 11:24 . 2009-03-29 11:24 3532 ----a-w- C:\drmHeader.bin
2008-12-01 19:49 . 2008-12-01 19:49 28 -c--a-w- c:\programme\deviceinfo
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\
SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^h3lios^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\h3lios\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"NMIndexingService"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"Adobe Version Cue CS2"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)
"mi-raysat_3dsMax2008_32"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"ATI Smart"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\TerraTec\\InstTool.exe"=
"c:\\Programme\\TerraTec\\CinergyDvr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"g:\\utorrent161.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\3dMax 2009\\3dsmax.exe"=
"d:\\3dMax 2009 Backburner\\monitor.exe"=
"d:\\3dMax 2009 Backburner\\manager.exe"=
"d:\\3dMax 2009 Backburner\\server.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"427:UDP"= 427:UDP:SLP_Port(427)
"8085:TCP"= 8085:TCP:podmena

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12.03.2009 16:46 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1005904]
S2 bdofiec;bdofiec;c:\windows\system32\drivers\dmvsxim.sys --> c:\windows\system32\drivers\dmvsxim.sys [?]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [16.11.2008 14:13 79360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:45]

2009-06-14 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-03-25 21:18]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anf¸gen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verkn¸pfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-14 23:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1024)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(960)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Creative\Shared Files\CTAudSvc.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Bonjour\mDNSResponder.exe
d:\3dmax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-14 23:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-14 21:35

Vor Suchlauf: 8 Verzeichnis(se), 49.166.061.568 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 49.111.838.720 Bytes frei

276 --- E O F --- 2009-05-13 22:45



F-Secure Blacklight Log:


06/14/09 23:40:12 [Info]: BlackLight Engine 2.2.1092 initialized
06/14/09 23:40:12 [Info]: OS: 5.1 build 2600 (Service Pack 3)
06/14/09 23:40:12 [Note]: 7019 4
06/14/09 23:40:12 [Note]: 7005 0
06/14/09 23:40:23 [Note]: 7006 0
06/14/09 23:40:23 [Note]: 7011 960
06/14/09 23:40:23 [Note]: 7035 0
06/14/09 23:40:23 [Note]: 7026 0
06/14/09 23:40:23 [Note]: 7026 0
06/14/09 23:40:25 [Note]: FSRAW library version 1.7.1024
06/14/09 23:43:08 [Note]: 2000 1012
06/14/09 23:43:08 [Note]: 2000 1012
06/14/09 23:43:42 [Note]: 7007 0
Seitenanfang Seitenende
15.06.2009, 06:36
Moderator

Beiträge: 5694
#6 >>
Von hier dürfte das ganze stammen ;)
c:\dokumente und einstellungen\h3lios\Anwendungsdaten\uTorrent

>>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.Virustotal.com/de prüfen und poste das Ergebnis:

c:\windows\system32\drivers\dmvsxim.sys


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>

Zitat

"8085:TCP"= 8085:TCPodmena
Wende TCPViewer an und poste das Log:
http://virus-protect.org/artikel/tools/tcpview.html

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

File::
c:\windows\zaponce53290.dat

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"=-
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden und installiere die Wiederherstellungskonsole über combofix

>>
poste das Neue Log von Combofix



Gruss Swiss

EDIT::
Seitenanfang Seitenende
15.06.2009, 15:27
Member

Themenstarter

Beiträge: 11
#7 Hehe, guten Tag ;)

c:\windows\system32\drivers\dmvsxim.sys ist an dem besagten Ort nicht aufzufinden.
Weder manuell noch ueber die Suchfunktion - Obwohl Versteckte Dateien angezeigt werden
und bei der Suche ebenfalls auch versteckte Dateien gesucht wurden. Die andere Datei
habe ich kontrollieren lassen.





Virustotal Ergebnis:


Die Datei wurde bereits analysiert:
MD5: 6226f7cbe59e99a90b5cef6f94f966fd
First received: 2009.05.18 12:58:41 UTC
Datum 2009.06.12 18:00:06 UTC [>2D]
Ergebnisse 0/39
Permalink: analisis/03042cf8100db386818cee4ff0f2972431a62ed78edbd09ac08accfabbefd818-1244829606




Datei zaponce53290.dat empfangen 2009.06.15 13:18:42 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)

Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.18 2009.06.15 -
AhnLab-V3 5.0.0.2 2009.06.15 -
AntiVir 7.9.0.187 2009.06.15 -
Antiy-AVL 2.0.3.1 2009.06.15 -
Authentium 5.1.2.4 2009.06.14 -
Avast 4.8.1335.0 2009.06.14 -
AVG 8.5.0.339 2009.06.15 -
BitDefender 7.2 2009.06.15 -
CAT-QuickHeal 10.00 2009.06.15 -
ClamAV 0.94.1 2009.06.15 -
Comodo 1335 2009.06.15 -
DrWeb 5.0.0.12182 2009.06.15 -
eSafe 7.0.17.0 2009.06.15 -
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.14 -
F-Secure 8.0.14470.0 2009.06.15 -
Fortinet 3.117.0.0 2009.06.15 -
GData 19 2009.06.15 -
Ikarus T3.1.1.59.0 2009.06.15 -
Jiangmin 11.0.706 2009.06.15 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.15 -
McAfee 5646 2009.06.14 -
McAfee+Artemis 5646 2009.06.14 -
McAfee-GW-Edition 6.7.6 2009.06.15 -
Microsoft 1.4701 2009.06.15 -
NOD32 4154 2009.06.15 -
Norman 6.01.09 2009.06.15 -
nProtect 2009.1.8.0 2009.06.15 -
Panda 10.0.0.14 2009.06.14 -
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.15 -
Rising 21.34.04.00 2009.06.15 -
Sophos 4.42.0 2009.06.15 -
Sunbelt 3.2.1858.2 2009.06.14 -
Symantec 1.4.4.12 2009.06.15 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.15 -
VBA32 3.12.10.7 2009.06.14 -
ViRobot 2009.6.15.1787 2009.06.15 -
VirusBuster 4.6.5.0 2009.06.14 -

weitere Informationen

File size: 2 bytes
MD5...: 6226f7cbe59e99a90b5cef6f94f966fd
SHA1..: 4452d71687b6bc2c9389c3349fdc17fbd73b833b
SHA256: 03042cf8100db386818cee4ff0f2972431a62ed78edbd09ac08accfabbefd818
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

( Check Point Software Technologies Ltd )

> Check Point 2000 Enterprise Suite v.4.1 Strong (3DES) Edition: etcertut.exe


Soll ich einfach weiter nach deiner Anleitung fortfahren?
Seitenanfang Seitenende
15.06.2009, 15:29
Moderator

Beiträge: 5694
#8 Ja arbeite alles durch
Seitenanfang Seitenende
15.06.2009, 15:33
Member

Themenstarter

Beiträge: 11
#9 Auch den OnlineScan?
Dazu muesste ich den infizierten Rechner an das Internet anschliessen - Habe da gerade Bedenken. Alles andere habe ich bis jetzt ueber meinen Laptop geregelt.
Seitenanfang Seitenende
15.06.2009, 15:40
Moderator

Beiträge: 5694
#10 Du musst den sowiesi nun anschliessen für TCP View.
Habe meinen Beitrag noch editiert.

Gruss swiss
Seitenanfang Seitenende
15.06.2009, 15:45
Member

Themenstarter

Beiträge: 11
#11 Aye aye Captain!

Ich habe die Liste abgearbeitet. Das sind die Ergebnisse:


TCP:

[System Process]:0 TCP helios:2869 fritz.fonwlan.box:3109 TIME_WAIT
[System Process]:0 TCP helios:2869 fritz.fonwlan.box:3110 TIME_WAIT
alg.exe:2980 TCP Helios:1026 Helios:0 LISTENING
lsass.exe:1076 UDP Helios:isakmp *:*
lsass.exe:1076 UDP Helios:4500 *:*
mDNSResponder.exe:1900 TCP Helios:5354 Helios:0 LISTENING
mDNSResponder.exe:1900 UDP Helios:1025 *:*
mDNSResponder.exe:1900 UDP helios:5353 *:*
PnkBstrA.exe:328 UDP Helios:44301 *:*
raysat_3dsmax9_32server.exe:244 TCP Helios:mi-raysat_3dsmax9_32 Helios:0 LISTENING
svchost.exe:1312 TCP Helios:epmap Helios:0 LISTENING
svchost.exe:1352 UDP Helios:ntp *:*
svchost.exe:1352 UDP helios:ntp *:*
svchost.exe:1352 TCP helios:1038 65.55.184.26:https ESTABLISHED
svchost.exe:1500 TCP Helios:2869 Helios:0 LISTENING
svchost.exe:1500 UDP helios:1900 *:*
svchost.exe:1500 UDP Helios:1900 *:*
svchost.exe:2000 UDP helios:427 *:*
svchost.exe:2000 UDP Helios:427 *:*
System:4 TCP helios:netbios-ssn Helios:0 LISTENING
System:4 TCP Helios:microsoft-ds Helios:0 LISTENING
System:4 UDP helios:netbios-ns *:*
System:4 UDP helios:netbios-dgm *:*
System:4 UDP Helios:microsoft-ds *:*


SDFIX:

SDFix: Version 1.240
Run by h3lios on 15.06.2009 at 15:59

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found


Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-15 16:04:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:31,df,88,e0,00,4e,83,87,3c,24,a4,aa,00,63,18,a0,b3,5a,ee,2b,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,76,03,96,91,5e,15,22,a5,ea,a0,01,d5,26,aa,bd,4a,78,..
"khjeh"=hex:34,c8,f0,3b,1f,31,a9,6e,a7,39,e6,a0,f6,ae,72,b6,d6,e3,72,c8,7d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:79,2f,89,8a,2b,9e,2a,fc,45,d5,e6,51,04,5e,e3,5d,fa,45,c0,da,f8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:31,df,88,e0,00,4e,83,87,3c,24,a4,aa,00,63,18,a0,b3,5a,ee,2b,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,76,03,96,91,5e,15,22,a5,ea,a0,01,d5,26,aa,bd,4a,78,..
"khjeh"=hex:34,c8,f0,3b,1f,31,a9,6e,a7,39,e6,a0,f6,ae,72,b6,d6,e3,72,c8,7d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:79,2f,89,8a,2b,9e,2a,fc,45,d5,e6,51,04,5e,e3,5d,fa,45,c0,da,f8,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\TerraTec\\InstTool.exe"="C:\\Programme\\TerraTec\\InstTool.exe:*:Enabled:TerraTec Home Cinema (Setup)"
"C:\\Programme\\TerraTec\\CinergyDvr.exe"="C:\\Programme\\TerraTec\\CinergyDvr.exe:*:Enabled:TerraTec Home Cinema"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:pnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:pnkBstrB"
"G:\\utorrent161.exe"="G:\\utorrent161.exe:*:Enabled:ÊTorrent"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe:*:Enabled:Adobe Version Cue CS3 Server"
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe:*:Enabled:hpqgpc01.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"D:\\3dMax 2009\\3dsmax.exe"="D:\\3dMax 2009\\3dsmax.exe:*:Enabled:Autodesk 3ds Max 9 32-bit"
"D:\\3dMax 2009 Backburner\\monitor.exe"="D:\\3dMax 2009 Backburner\\monitor.exe:*:Enabled:backburner 2.3 monitor"
"D:\\3dMax 2009 Backburner\\manager.exe"="D:\\3dMax 2009 Backburner\\manager.exe:*:Enabled:backburner 2.3 manager"
"D:\\3dMax 2009 Backburner\\server.exe"="D:\\3dMax 2009 Backburner\\server.exe:*:Enabled:backburner 2.3 server"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\setup\\HPZnui01.exe"="F:\\setup\\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe:*:Enabled:hpqgpc01.exe"

Remaining Files :

Files with Hidden Attributes :

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 14 Jun 2009 24,576 ..SH. --- "C:\program Files\Manson\liser.dll"
Fri 12 Jun 2009 57,344 ..SHR --- "C:\program Files\Manson\liser.exe"
Sun 26 Apr 2009 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!




BitDefender Log:


BitDefender Online Scanner
Scan report generated at: Mon, Jun 15, 2009 - 17:50:02
Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;K:\;


Statistics

Time
01:38:20

Files
1452900

Folders
13080

Boot Sectors
0

Archives
13739

Packed Files
148475


Results

Identified Viruses
2

Infected Files
3

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
3


Engines Info

Virus Definitions
3348670

Engine build
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Scan plugins
17

Archive plugins
45

Unpack plugins
7

E-mail plugins
6

System plugins
4


Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;
Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes


Scanned File


Status

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACpvtqhhilvqyrrle.sys.vir
Infected with: Rootkit.TDSs.W

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACpvtqhhilvqyrrle.sys.vir
Deleted

C:\System Volume Information\_restore{5C1B30B8-8852-4443-9D9C-91B66D65FC7C}\RP210\A0048155.sys
Infected with: Rootkit.TDSs.W

C:\System Volume Information\_restore{5C1B30B8-8852-4443-9D9C-91B66D65FC7C}\RP210\A0048155.sys
Deleted

C:\WINDOWS\system32\uactmp.db
Infected with: Trojan.Script.74909

C:\WINDOWS\system32\uactmp.db
Deleted





Und hier das neue ComboFix Log mit dem oben beschriebenen schoenen KILLALL Script ;)

ComboFix 09-06-14.02 - h3lios 15.06.2009 18:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2558 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\h3lios\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\h3lios\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\zaponce53290.dat"
.

(((((((((((((((((((((((((((((((((((( Weitere Lˆschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\zaponce53290.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-15 bis 2009-06-15 ))))))))))))))))))))))))))))))
.

2009-06-15 14:09 . 2009-06-15 15:54 -------- d-----w- c:\windows\BDOSCAN8
2009-06-15 13:57 . 2009-06-15 13:57 -------- d-----w- c:\windows\ERUNT
2009-06-15 13:40 . 2009-06-15 14:05 -------- d-----w- C:\SDFix
2009-06-13 22:11 . 2009-06-13 22:11 -------- d-----w- c:\programme\CCleaner
2009-06-13 20:44 . 2009-06-13 20:44 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Malwarebytes
2009-06-13 20:40 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 20:40 . 2009-06-13 20:41 -------- d-----w- c:\programme\RESCUE
2009-06-13 20:40 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-13 20:35 . 2009-06-13 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 14:01 . 2009-06-13 14:01 -------- d-----w- C:\program Files
2009-06-13 13:38 . 2009-06-13 13:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-06-13 12:17 . 2009-06-13 12:17 -------- d-----w- c:\windows\Downloaded Installations
2009-05-19 15:57 . 2009-05-19 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software
2009-05-18 13:11 . 2009-05-18 13:12 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume Avenue 3
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Resolume
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Resolume Avenue 3
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w- c:\programme\Resolume Avenue 3.0.1

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-14 20:46 . 2008-11-16 12:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-13 14:07 . 2008-11-16 12:31 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Skype
2009-06-13 13:41 . 2008-11-18 21:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-06-13 13:38 . 2008-11-18 21:04 -------- d-----w- c:\programme\Autodesk
2009-06-13 12:14 . 2009-01-01 13:54 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\uTorrent
2009-06-13 10:21 . 2009-02-25 10:10 334912 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\cgamex86.dll
2009-06-13 10:21 . 2009-02-25 10:10 171072 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\uix86.dll
2009-06-13 09:49 . 2009-03-15 14:14 138944 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-06-13 09:49 . 2009-03-15 14:14 189784 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-06-13 09:49 . 2009-02-25 10:10 874660 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbcl.dll
2009-06-13 09:49 . 2009-02-25 10:10 57344 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbag.dll
2009-06-13 09:49 . 2009-02-25 10:10 479232 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\pb\pbsv.dll
2009-06-13 09:49 . 2009-02-25 10:10 2669632 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\quakelive.dll
2009-06-10 17:50 . 2009-02-25 10:10 449600 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\id Software\quakelive\home\baseq3\qagamex86.dll
2009-06-09 19:32 . 2008-11-16 12:29 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\mIRC
2009-06-09 17:05 . 2008-11-16 12:29 -------- d-----w- c:\programme\mIRC
2009-06-01 21:58 . 2008-12-01 19:45 -------- d-----w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\dvdcss
2009-06-01 21:01 . 2009-05-12 18:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\America's Army Deploy Client
2009-05-27 16:15 . 2008-11-16 12:19 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-23 23:10 . 2008-11-16 12:27 -------- d-----w- c:\programme\SpeedFan
2009-05-19 16:00 . 2009-01-03 16:35 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys
2009-05-19 15:58 . 2009-01-03 16:35 22328 ----a-w- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\PnkBstrK.sys
2009-05-19 15:57 . 2009-03-15 14:14 2246144 ----a-w- c:\windows\system32\pbsvc.exe
2009-05-07 17:12 . 2009-05-07 17:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2009-05-07 17:12 . 2009-05-07 16:58 188816 ----a-w- c:\windows\hpoins31.dat
2009-05-07 17:10 . 2009-03-22 20:41 -------- d-----w- c:\programme\HP
2009-05-07 17:08 . 2009-03-22 20:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Hewlett-Packard
2009-05-07 17:07 . 2009-05-07 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2009-05-05 18:54 . 2009-05-05 18:50 -------- d-----w- c:\programme\SopCast
2009-05-05 08:51 . 2009-05-05 08:51 625728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll
2009-05-04 18:58 . 2008-11-16 12:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-04-26 12:21 . 2009-04-26 12:21 -------- d-----w- c:\programme\Windows Media Connect 2
2009-04-23 13:45 . 2009-04-23 13:45 64160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-04-23 13:45 . 2009-03-12 14:46 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-04-23 13:09 . 2008-11-16 11:40 188616 -c--a-w- c:\dokumente und einstellungen\h3lios\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-23 11:15 . 2009-04-23 11:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Control Panels
2009-04-23 11:14 . 2009-04-23 11:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-04-23 11:04 . 2009-04-23 11:04 -------- d-----w- c:\programme\Bonjour
2009-04-23 11:01 . 2009-04-23 11:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-23 10:53 . 2009-04-23 10:53 3584 ----a-r- c:\dokumente und einstellungen\h3lios\Anwendungsdaten\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe
2009-04-23 10:53 . 2009-04-23 10:53 -------- d-----w- c:\programme\Windows Installer Clean Up
2009-04-23 10:52 . 2009-04-23 10:52 -------- d-----w- c:\programme\MSECACHE
2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\programme\QuickTime
2009-04-23 09:37 . 2009-04-23 09:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-04-16 15:52 . 2006-02-28 11:00 72688 -c--a-w- c:\windows\system32\perfc007.dat
2009-04-16 15:52 . 2006-02-28 11:00 411596 -c--a-w- c:\windows\system32\perfh007.dat
2009-03-29 11:24 . 2009-03-29 11:24 3532 ----a-w- C:\drmHeader.bin
2008-12-01 19:49 . 2008-12-01 19:49 28 -c--a-w- c:\programme\deviceinfo
.

((((((((((((((((((((((((((((( SnapShot@2009-06-14_21.33.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-05 13:44 . 2009-01-05 13:44 53248 c:\windows\bdoscandel.exe
+ 2009-06-15 14:09 . 2009-06-15 14:09 86016 c:\windows\BDOSCAN8\librtvr.dll
+ 2009-06-15 14:09 . 2009-06-15 14:09 27136 c:\windows\BDOSCAN8\avxt.dll
+ 2009-06-15 14:09 . 2009-06-15 14:09 10240 c:\windows\BDOSCAN8\avxs.dll
+ 2009-06-15 14:09 . 2009-06-15 14:09 45056 c:\windows\BDOSCAN8\avxdisk.dll
+ 2009-06-15 16:20 . 2009-06-15 16:20 401920 c:\windows\system32\CF30416.exe
+ 2009-06-15 13:57 . 2009-06-15 13:57 225280 c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2009-06-15 13:57 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-06-15 13:57 . 2009-06-15 13:57 225280 c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2009-06-15 13:57 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-01-05 13:44 . 2009-01-05 13:44 741376 c:\windows\Downloaded Program Files\ipsupd.dll
+ 2009-01-05 13:44 . 2009-06-15 14:09 142848 c:\windows\BDOSCAN8\libfn.dll
+ 2009-01-05 13:44 . 2009-01-05 13:44 741376 c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-01-05 13:44 . 2009-06-15 14:09 102400 c:\windows\BDOSCAN8\bdcore.dll
+ 2009-06-15 13:57 . 2009-06-15 13:57 7258112 c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2009-06-15 13:57 . 2009-06-15 13:57 7258112 c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2008-08-24 4067328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\
SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^h3lios^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\h3lios\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"NMIndexingService"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"Adobe Version Cue CS2"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)
"mi-raysat_3dsMax2008_32"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"ATI Smart"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\TerraTec\\InstTool.exe"=
"c:\\Programme\\TerraTec\\CinergyDvr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"g:\\utorrent161.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\3dMax 2009\\3dsmax.exe"=
"d:\\3dMax 2009 Backburner\\monitor.exe"=
"d:\\3dMax 2009 Backburner\\manager.exe"=
"d:\\3dMax 2009 Backburner\\server.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"427:UDP"= 427:UDP:SLP_Port(427)
"8085:TCP"= 8085:TCP:podmena

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12.03.2009 16:46 64160]
S2 bdofiec;bdofiec;c:\windows\system32\drivers\dmvsxim.sys --> c:\windows\system32\drivers\dmvsxim.sys [?]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1005904]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [16.11.2008 14:13 79360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-15 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:45]

2009-06-15 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-03-25 21:18]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anf¸gen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verkn¸pfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-15 18:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1024)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(788)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Creative\Shared Files\CTAudSvc.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Bonjour\mDNSResponder.exe
d:\3dmax 2009\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\windows\system32\CF30416.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-15 18:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-15 16:29
ComboFix2.txt 2009-06-14 21:35

Vor Suchlauf: 9 Verzeichnis(se), 57.176.449.024 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 57.166.716.928 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

269 --- E O F --- 2009-05-13 22:45


Hui, das hat jetzt einige Zeit gedauert, aber es sieht schon viel besser aus als vorher,
oder? Rein interessehalber: Was machte denn diese zaponce53290.dat eigentlich?
Ich habe jetzt auch gleich nochmal Antivir, Spybot Search & Destroy und AdAware
geupdatet.
Dieser Beitrag wurde am 15.06.2009 um 18:58 Uhr von Mopsy editiert.
Seitenanfang Seitenende
15.06.2009, 19:30
Moderator

Beiträge: 5694
#12 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".

>>
Lasse folgende Datei bei www.Virustotal.com/de prüfen und poste das Ergebnis:
C:\program Files\Manson\liser.dll
C:\program Files\Manson\liser.exe


>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Folders to delete:
C:\program Files\Manson
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

UAC

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Das gleiche mit:
PODMENA

Gruss Swiss
Seitenanfang Seitenende
15.06.2009, 19:42
Member

Themenstarter

Beiträge: 11
#13 S&D Teatimer ist deaktiviert.

Der Program Files Ordner ist komplett leer (Trotz eingeblendeter versteckter Dateien und
Suche nach versteckten Dateien). Beide Dateien sind nicht auffindbar.
Haengt das vielleicht damit zusammen, dass ich die besagte Liser Geschichte per msconfig
aus dem Autostart entfernt habe?
Soll ich einfach mit Avenger fortfahren?

EDIT: Ich habe gerade nachgeschaut und unter msconfig -> autostart ist der Eintrag von
liser noch vorhanden, aber ohne Haken davor.
Dieser Beitrag wurde am 15.06.2009 um 19:46 Uhr von Mopsy editiert.
Seitenanfang Seitenende
15.06.2009, 19:53
Moderator

Beiträge: 5694
#14 Gib mal einfach die Datein per kopieren und einfügen auf Virustotal ein:

Zitat

oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
>>
Dann führe den Rest durch.

Gruss Swiss
Seitenanfang Seitenende
15.06.2009, 19:59
Member

Themenstarter

Beiträge: 11
#15 Also, ich kann in die Commandozeile auf Virustotal.com/de keinen Pfad pasten. Auch wenn
ich auf Durchsuchen klicke und in das program Files Folder gehe und dann unten einen der
beiden Namen manuell eintippe funktioniert es nicht. Es heisst dann bloss: Datei konnte
nicht gefunden werden. ueberpruefen Sie den Dateinamen.


Habe Avenger schon laufen gelassen - Hier das Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\program Files\Manson" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Ich hoffe ich war jetzt nicht zu voreilig...

EDIT: Oh, jetzt habe ich die Ursache gefunden. Bei einem der zahlreichen Neustarts muss irgendein Programm die Ordnersichtbarkeitseinstellungen
zurückgesetzt haben. Jetzt ist der Ordner Program Files jedenfalls wirklich leer.
Entschuldige, da habe ich nicht aufgepasst.
Dieser Beitrag wurde am 15.06.2009 um 20:05 Uhr von Mopsy editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: