Recycler-Virus auf USB-stick? PC infiziert?

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.06.2009, 12:01
...neu hier

Beiträge: 9
#1 Hallo,

ich bin nach dieser Beschreibung http://board.protecus.de/t23188.htm vorgegangen, und versuche mal, mein Problem zu beschreiben:
Ich hab heute morgen eine offensichtlich verseuchte Datei beim downloaden erwischt. Danach habe ich meinen USB-Stick "leer gemacht" Dabei stolperte ich über einen Recycler-Ordner...dachte mir dabei nichts böses und löschte das Ding.
Dann hab ich den Stick an einen anderen PC gesteckt, und er ging nicht zu öffnen. Formatieren ist auch nicht mehr möglich, es kommt nur immer eine Fehlermeldung mit Recycler und einem Haufen Zahlen. Um das Problem zu beheben habe ich mal google befragt. Dabei bin ich dann drauf gestoßen, dass es sich wohl um ein Virus handelt. Jetzt hab ich die Schritte alle so durchgeführt und hier meine log-Daten eingefügt.

Ich würde mich freuen, wenn mir jemand sagen kann, ob das Problem jetzt behoben ist, durch ComboFix, oder was ich noch tun muss. Und vor allem, wie ich den USB-Stick wieder sauber bekomme, wenn ich das richtig verstanden habe, infiziert er ja sofort beim anschließen wieder den PC.

Wenn ich noch was "nachliefern" soll, bitte bescheid sagen.

DANKE schon mal.
lg
Lino

comboFix Log

Zitat

ComboFix 09-06-23.01 - Lino 24.06.2009 11:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2498 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lino\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\kl1.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-24 bis 2009-06-24 ))))))))))))))))))))))))))))))
.

2009-06-24 08:57 . 2009-06-24 08:57 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Malwarebytes
2009-06-24 08:57 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-24 08:57 . 2009-06-24 08:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-24 08:56 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-24 08:56 . 2009-06-24 08:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-24 05:58 . 2009-06-24 06:00 -------- d-----w- c:\windows\system32\NtmsData
2009-06-24 05:44 . 2009-06-24 05:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Outlook Security Manager
2009-06-23 13:36 . 2009-06-23 13:36 -------- d-----w- c:\programme\Gemeinsame Dateien\MAPILab Ltd
2009-06-23 13:36 . 2009-06-24 05:52 -------- d-----w- c:\programme\Duplicates Remover for Outlook
2009-06-23 13:35 . 2009-06-23 13:35 -------- d-----w- c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2009-06-12 16:49 . 2008-04-13 22:17 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2009-06-12 16:49 . 2008-04-13 22:17 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-06-11 09:41 . 2009-06-11 09:45 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Scan2PDF
2009-06-11 09:41 . 2009-06-11 09:41 -------- d-----w- c:\programme\Scan2PDF
2009-06-05 07:24 . 2009-06-05 07:24 -------- d-----w- c:\programme\MSXML 4.0
2009-06-04 12:35 . 2009-06-04 12:35 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Corel
2009-06-04 11:35 . 2009-06-04 12:34 -------- d-----w- c:\programme\Mobile DBViewer Plus
2009-06-04 11:14 . 2009-06-09 07:57 56 --sh--r- c:\windows\system32\37FFD40650.sys
2009-06-04 11:14 . 2009-06-09 07:57 1890 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-04 11:14 . 2009-06-04 11:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Corel
2009-06-04 11:13 . 2009-06-04 11:13 -------- d-----w- c:\programme\Corel
2009-06-03 11:10 . 2009-06-03 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2009-06-03 11:09 . 2009-06-03 11:06 24390408 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\NokiaSoftwareUpdaterSetup_de.exe
2009-06-03 11:09 . 2009-06-03 11:09 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\Installer\CommonCustomActions\msxml6Exec.exe
2009-06-03 11:09 . 2009-06-03 11:09 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\Installer\CommonCustomActions\Sleep.exe
2009-06-03 11:09 . 2009-06-03 11:09 3181612 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\Installer\CommonCustomActions\vcredistExec.exe
2009-06-03 11:03 . 2009-06-04 11:32 -------- d-----w- c:\programme\MobileDBViewer
2009-06-03 10:20 . 2008-04-13 22:15 26112 -c--a-w- c:\windows\system32\dllcache\usbser.sys
2009-06-03 10:20 . 2008-04-13 22:15 26112 ----a-w- c:\windows\system32\drivers\usbser.sys
2009-06-02 09:12 . 2009-06-02 09:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-05-30 18:57 . 2009-05-30 18:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-05-30 18:57 . 2009-05-30 18:57 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-05-30 18:57 . 2009-06-01 13:49 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-05-30 18:57 . 2009-05-30 20:27 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\DAEMON Tools Lite
2009-05-28 08:36 . 2009-05-28 08:37 -------- d-----w- c:\dokumente und einstellungen\Lino\.jordan
2009-05-26 08:19 . 2009-05-26 08:19 -------- d-----w- c:\windows\Sun
2009-05-25 11:49 . 2009-05-25 11:49 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-24 09:25 . 2009-05-02 18:03 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Skype
2009-06-24 09:25 . 2009-04-28 11:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-06-24 09:23 . 2009-04-28 11:52 753696 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-24 09:23 . 2009-04-28 11:52 5748768 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-24 09:23 . 2009-04-28 11:52 48088 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-24 09:23 . 2009-04-28 11:52 4704 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-24 06:05 . 2009-05-02 18:04 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\skypePM
2009-06-19 07:46 . 2009-04-25 09:59 132296 ----a-w- c:\windows\system32\nvModes.dat
2009-06-11 08:43 . 2009-04-25 10:05 -------- d-----w- c:\programme\Windows Desktop Search
2009-06-09 08:07 . 2009-04-29 11:40 -------- d-----w- c:\programme\IrfanView
2009-06-05 07:55 . 2009-04-25 10:14 60520 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-04 11:06 . 2009-04-25 10:09 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-03 11:09 . 2009-04-29 12:16 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2009-06-03 11:09 . 2009-04-29 10:21 -------- d-----w- c:\programme\Nokia
2009-06-03 11:08 . 2009-04-29 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-06-03 10:04 . 2009-04-29 10:23 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Nokia
2009-06-01 15:44 . 2009-05-15 07:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2009-05-27 12:54 . 2009-05-04 11:51 -------- d-----w- c:\programme\FreePDF_XP
2009-05-24 22:24 . 2008-05-26 21:18 350208 ----a-w- c:\windows\system32\mssph.dll
2009-05-24 20:01 . 2009-05-24 18:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-05-24 20:01 . 2009-05-24 20:01 187968 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VCSExpress\9.0\1031\ResourceCache.dll
2009-05-24 20:01 . 2009-05-24 18:48 416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\9.0\1031\ResourceCache.dll
2009-05-24 20:00 . 2009-05-24 18:46 -------- d-----w- c:\programme\Microsoft Visual Studio 9.0
2009-05-24 19:57 . 2009-05-24 19:57 113216 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VCExpress\9.0\1031\ResourceCache.dll
2009-05-24 19:56 . 2009-05-24 19:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Merge Modules
2009-05-24 19:53 . 2009-05-24 19:53 -------- d-----w- c:\programme\Microsoft Synchronization Services
2009-05-24 19:53 . 2009-04-25 10:16 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition
2009-05-24 19:52 . 2009-05-24 19:52 194688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VBExpress\9.0\1031\ResourceCache.dll
2009-05-24 19:39 . 2008-04-25 09:46 554544 ----a-w- c:\windows\system32\perfh007.dat
2009-05-24 19:39 . 2008-04-25 09:46 120820 ----a-w- c:\windows\system32\perfc007.dat
2009-05-24 19:38 . 2009-05-24 18:50 -------- d-----w- c:\programme\Microsoft SQL Server
2009-05-24 19:31 . 2009-05-24 19:31 -------- d-----w- c:\programme\MSXML 6.0
2009-05-24 19:30 . 2009-04-28 12:16 -------- d-----w- c:\programme\Microsoft.NET
2009-05-24 18:49 . 2009-05-24 18:49 490304 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VWDExpress\9.0\1031\ResourceCache.dll
2009-05-24 18:45 . 2009-05-24 18:45 -------- d-----w- c:\programme\Microsoft Visual Studio 8
2009-05-24 18:45 . 2009-05-24 18:44 -------- d-----w- c:\programme\Microsoft Web Designer Tools
2009-05-24 18:43 . 2009-05-24 18:43 -------- d-----w- c:\programme\Microsoft SDKs
2009-05-24 18:33 . 2008-04-25 15:14 139896 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-24 18:21 . 2009-05-24 12:19 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\DAEMON Tools Pro
2009-05-24 12:25 . 2009-05-24 12:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-05-24 12:19 . 2009-05-24 12:19 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-05-23 16:17 . 2009-05-23 16:17 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-05-23 16:17 . 2009-05-23 16:17 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-05-22 17:26 . 2009-05-22 17:26 -------- d-----w- c:\programme\Hasbro Interactive
2009-05-22 11:19 . 2009-04-28 11:53 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-22 11:19 . 2009-04-28 11:53 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-15 10:17 . 2009-05-15 09:50 -------- d-----w- c:\programme\Smart CD Catalog PRO
2009-05-15 10:02 . 2009-05-15 10:01 -------- d-----w- c:\programme\QUICKDIC
2009-05-15 08:42 . 2009-05-07 11:46 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\gtk-2.0
2009-05-15 08:25 . 2009-05-15 08:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJ
2009-05-15 08:21 . 2009-05-15 07:46 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Canon
2009-05-15 08:15 . 2009-04-29 09:11 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Apple Computer
2009-05-15 07:51 . 2009-05-15 07:48 -------- d-----w- c:\programme\Canon
2009-05-15 07:49 . 2009-05-15 07:49 -------- d--h--w- c:\programme\CanonBJ
2009-05-15 07:46 . 2009-05-15 07:46 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJScan
2009-05-14 12:49 . 2009-04-28 12:30 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Miranda
2009-05-12 13:12 . 2008-04-25 15:10 26144 ----a-w- c:\windows\system32\spupdsvc.exe
2009-05-11 12:16 . 2009-05-04 11:50 -------- d-----w- c:\programme\gs
2009-05-11 09:28 . 2009-05-05 07:58 -------- d-----w- c:\programme\totalcmd
2009-05-08 17:15 . 2009-05-08 17:15 -------- d-----w- c:\programme\Audacity
2009-05-08 08:50 . 2009-04-25 10:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Sonic Shared
2009-05-07 15:32 . 2008-04-25 09:45 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-07 13:20 . 2009-05-07 13:20 -------- d-----w- c:\programme\MSECache
2009-05-07 12:16 . 2009-05-07 12:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\eDocPrintPro
2009-05-07 11:43 . 2009-05-07 11:43 -------- d-----w- c:\programme\GIMP-2.0
2009-05-06 12:12 . 2009-04-29 10:23 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\PC Suite
2009-05-06 08:39 . 2009-05-06 08:39 -------- d-----w- c:\programme\WallpaperToy
2009-05-05 16:17 . 2009-05-05 16:17 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\tmp
2009-05-05 16:17 . 2009-05-05 16:17 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Reallusion
2009-05-05 08:31 . 2009-05-06 08:39 187072 ----a-w- c:\windows\walltoyUninst.exe
2009-05-04 11:55 . 2009-05-04 11:55 -------- d-----w- c:\programme\Opera
2009-05-04 10:10 . 2009-05-04 10:08 -------- d-----w- c:\programme\Cobian Backup 9
2009-05-04 10:01 . 2009-05-04 10:00 -------- d-----w- c:\programme\Filzip
2009-05-02 18:04 . 2009-05-02 18:04 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-05-02 18:03 . 2009-05-02 18:02 -------- d-----r- c:\programme\Skype
2009-05-02 18:03 . 2009-05-02 18:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-05-02 18:03 . 2009-05-02 18:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-04-30 09:59 . 2009-04-30 09:59 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\Roxio
2009-04-30 09:06 . 2009-04-28 11:32 137 ----a-w- c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-04-29 13:31 . 2009-04-28 12:30 -------- d-----w- c:\programme\Miranda IM
2009-04-29 12:16 . 2009-04-29 12:16 -------- d-----w- c:\programme\Gemeinsame Dateien\PCSuite
2009-04-29 12:14 . 2009-04-29 12:14 -------- d-----w- c:\programme\PC Connectivity Solution
2009-04-29 12:12 . 2009-04-29 12:12 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstCCD.exe
2009-04-29 12:12 . 2009-04-29 12:12 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-04-29 12:12 . 2009-04-29 12:12 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstPCS.exe
2009-04-29 12:11 . 2009-04-29 12:13 34217960 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Nokia_PC_Suite_7_1_26_0_ger.exe
2009-04-29 11:47 . 2009-04-25 10:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Dell
2009-04-29 11:40 . 2009-04-29 11:40 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\IrfanView
2009-04-29 11:07 . 2009-04-29 11:07 -------- d-----w- c:\programme\Phone Remote Control
2009-04-29 10:23 . 2009-04-29 10:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-04-29 10:22 . 2009-04-29 10:22 -------- d-----w- c:\programme\DIFX
2009-04-29 10:21 . 2009-04-29 10:21 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-04-29 10:21 . 2009-04-29 10:21 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstCCD.exe
2009-04-29 10:21 . 2009-04-29 10:21 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstPCS.exe
2009-04-29 10:14 . 2009-04-29 10:21 33849120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Nokia_PC_Suite_7_1_18_0_ger_web.exe
2009-04-29 09:57 . 2009-04-29 09:57 -------- d-----w- c:\dokumente und einstellungen\Lino\Anwendungsdaten\iTunesControl
2009-04-29 09:57 . 2009-04-29 09:57 -------- d-----w- c:\programme\iTunesControl
2009-04-29 09:35 . 2009-04-25 10:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-04-29 09:11 . 2009-04-29 09:10 -------- d-----w- c:\programme\iTunes
2009-04-29 09:11 . 2009-04-29 09:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2008-12-17 22:34 . 2009-04-29 08:17 67688 ----a-w- c:\programme\mozilla firefox\components\jar50.dll
2008-12-17 22:34 . 2009-04-29 08:17 54368 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-17 22:34 . 2009-04-29 08:17 34944 ----a-w- c:\programme\mozilla firefox\components\myspell.dll
2008-12-17 22:34 . 2009-04-29 08:17 46712 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll
2008-12-17 22:34 . 2009-04-29 08:17 172136 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-03-20 1312256]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-21 24264488]
"Cobian Backup 9"="c:\programme\Cobian Backup 9\Cobian.exe" [2009-01-22 579584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-02-21 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-30 13537280]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-30 86016]
"OEM13Mon.exe"="c:\windows\OEM13Mon.exe" [2008-07-16 36864]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-11-26 2289664]
"DELL Webcam Manager"="c:\programme\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-04-28 201992]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"MpsOnn"="c:\windows\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe" [2001-11-19 22528]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"CorelDRAW Graphics Suite 11b"="c:\programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe" [2003-12-02 733184]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-02-21 16855552]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-06-30 1630208]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2008-06-30 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
Miranda IM.lnk - c:\programme\Miranda IM\miranda32.exe [2009-4-17 558176]
Wallpaper Changer.lnk - c:\programme\WallpaperToy\Wallpapertoy.Exe [2009-5-6 110592]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-1-11 2150400]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Phone Remote Control\\PhoneRemoteControl.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25.03.2008 20:07 24592]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [25.04.2009 20:52 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [25.04.2009 20:52 43608]
R3 OEM13Afx;Provides a software interface to control audio effects of OEM013 camera.;c:\windows\system32\drivers\OEM13Afx.sys [25.04.2009 20:52 141376]
R3 OEM13Vfx;Creative Camera OEM013 Video VFX Driver;c:\windows\system32\drivers\OEM13Vfx.sys [25.04.2009 20:52 7424]
R3 OEM13Vid;Creative Camera OEM013 Driver;c:\windows\system32\drivers\OEM13Vid.sys [25.04.2009 20:52 235840]
S2 Norton Internet Security;Norton Internet Security;"c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [29.04.2009 14:13 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [29.04.2009 14:13 8320]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [10.07.2008 17:27 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.07.2008 02:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [10.07.2008 17:27 369688]
.
Inhalt des "geplante Tasks" Ordners

2009-06-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-BluetoothRC - c:\programme\Phone Remote Control\BluetoothRemoteControl.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
uInternet Settings,ProxyOverride = *.local
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-24 11:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Norton Internet Security]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1484)
c:\windows\system32\klogon.dll
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(824)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\drivers\o2flash.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\searchindexer.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\programme\DellTPad\ApMsgFwd.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\DellTPad\hidfind.exe
c:\programme\DellTPad\ApntEx.exe
c:\programme\Dell Support Center\gs_agent\dsc.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\Cobian Backup 9\cbInterface.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
c:\programme\PC Connectivity Solution\Transports\NclToBTSrv.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-24 11:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-24 09:27

Vor Suchlauf: 12 Verzeichnis(se), 162.744.242.176 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 162.783.698.944 Bytes frei

311 --- E O F --- 2009-06-11 07:30
MBam Log

Zitat

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2328
Windows 5.1.2600 Service Pack 3

24.06.2009 11:02:51
mbam-log-2009-06-24 (11-02-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96628
Laufzeit: 3 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.147,85.255.112.103 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{34aa24dd-8bb1-4a33-948e-5f6938b4bbe2}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.147,85.255.112.103 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bb4017ca-a28f-44cf-8ae0-b53c9a3bccbd}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.147,85.255.112.103 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Temp\tempo-1379625.tmp (Trojan.DNSChanger) -> No action taken.
c:\WINDOWS\Temp\tempo-1393484.tmp (Trojan.DNSChanger) -> No action taken.
c:\WINDOWS\Temp\tempo-1394437.tmp (Trojan.DNSChanger) -> No action taken.
c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Temp\FreeHDplay.exe (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\MSIVXfnotbuvkbiqjctlkpxbjbmhavkbhutot.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\MSIVXxfbpxeyyoiltyqglttwqpucrmpvrxths.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\MSIVXnbakbpksfrujlhbqpobotxegjigkomxq.sys (Trojan.Agent) -> No action taken.
HiJack This Log

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:12, on 24.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DellTPad\Apoint.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\OEM13Mon.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Dell Support Center\bin\sprtcmd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\DRIVERS\o2flash.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Dell Support Center\bin\sprtsvc.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Cobian Backup 9\Cobian.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Cobian Backup 9\cbInterface.exe
C:\Programme\WallpaperToy\Wallpapertoy.Exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclToBTSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Lino\Eigene Dateien\virus\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://g.uk.msn.com/USSMB/8
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.uk.msn.com/USSMB/8
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OEM13Mon.exe] C:\WINDOWS\OEM13Mon.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Programme\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [dscactivate] "C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [MpsOnn] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=070809 serial=DR12WTX-9999998-YSP lang=DE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Cobian Backup 9] "C:\Programme\Cobian Backup 9\Cobian.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Wallpaper Changer.lnk = C:\Programme\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2FLASH - O2Micro International - C:\WINDOWS\system32\DRIVERS\o2flash.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programme\Dell Support Center\bin\sprtsvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 10493 bytes
Und zum schluss noch die Uninstall Liste

Zitat

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2 - Deutsch
Advanced Audio FX Engine
Advanced Video FX Engine
Apple Mobile Device Support
Apple Software Update
Audacity 1.2.3
AVM FRITZ!Box Dokumentation
AVM FRITZ!Box Druckeranschluss
Bluetooth Stack for Windows by Toshiba
Bonjour
Canon MP Navigator EX 2.0
CanoScan LiDE 200 Scanner Driver
Choice Guard
Cobian Backup 9
Compatibility Pack für 2007 Office System
CorelDRAW Graphics Suite 12
DAEMON Tools Toolbar
Dell Support Center (Support Software)
Dell Touchpad
Dell Webcam Center
Dell Webcam Manager
Dienstprogramm für Dell Wireless WLAN Karte
Filzip 3.06
FreePDF XP (Remove only)
GIMP 2.6.6
GPL Ghostscript 8.64
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Office (KB950278)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946344)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB948127)
Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB951708)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB945282)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB946040)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB946308)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB946344)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB946581)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB947540)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB947789)
Hotfix für Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU (KB951708)
Hotfix für Windows XP (KB942288-v3)
Hotfix für Windows XP (KB961118)
Icy Tower v1.3.1
Inkjet Printer/Scanner Extended Survey Program
IrfanView (remove only)
iTunes
iTunesControl
Java(TM) 6 Update 13
Junk Mail filter update
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
Laptop Integrated Webcam Driver (1.01.01.0529)
Live! Cam Avatar
Live! Cam Avatar Creator
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Office Professional Edition 2003
Microsoft Office Shared MUI (German) 2007
Microsoft Office Visual Web Developer 2007
Microsoft Office Visual Web Developer MUI (German) 2007
Microsoft Search Enhancement Pack
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft SQL Server 2008
Microsoft SQL Server 2008
Microsoft SQL Server 2008 Common Files
Microsoft SQL Server 2008 Common Files
Microsoft SQL Server 2008 Database Engine Services
Microsoft SQL Server 2008 Database Engine Services
Microsoft SQL Server 2008 Database Engine Shared
Microsoft SQL Server 2008 Database Engine Shared
Microsoft SQL Server 2008 Management Objects
Microsoft SQL Server 2008 Native Client
Microsoft SQL Server 2008 RsFx Driver
Microsoft SQL Server 2008 Setup Support Files (English)
Microsoft SQL Server 2008-Browser
Microsoft SQL Server Compact 3.5 SP1 (Deutsch)
Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)
Microsoft SQL Server Database Publishing Wizard 1.3
Microsoft SQL Server VSS Writer
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU
Microsoft Visual Basic 2008 Express Edition with SP1 - DEU
Microsoft Visual C# 2008 Express Edition mit SP1 - DEU
Microsoft Visual C# 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual Studio Web Authoring Component
Microsoft Visual Web Developer 2008 Express Edition mit SP1 - DEU
Microsoft Visual Web Developer 2008 Express Edition with SP1 - DEU
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Web - deu
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
Microsoft Works
Miranda IM 0.7.19
Mozilla Firefox (2.0.0.20)
MSN
MSVC80_x86
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
Nokia Software Updater
NVIDIA Drivers
Opera 9.64
PC Connectivity Solution
Phone Remote Control
PowerDVD
QuickSet
QuickTime
Realtek High Definition Audio Driver
RedMon - Redirection Port Monitor
Roll
Roxio Activation Module
Roxio Creator Audio
Roxio Creator BDAV Plugin
Roxio Creator Copy
Roxio Creator Data
Roxio Creator DE
Roxio Creator Tools
Roxio Drag-to-Disc
Roxio Express Labeler 3
Roxio Update Manager
Scan2PDF 1.6
Security Update for Windows Search 4 - KB963093
Segoe UI
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969897)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Skype™ 4.0
Smart CD Catalog 2.56 Professional
Sonic CinePlayer Decoder Pack
Sql Server Customer Experience Improvement Program
SQL Server System CLR Types
Total Commander (Remove or Repair)
Update for Microsoft Visual Studio Web Authoring Component (KB945140)
Update für Windows XP (KB898461)
Update für Windows XP (KB967715)
Wallpaper Changer for Windows XP
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Mail
Windows Live Messenger
Windows Live Sync
Windows Live Toolbar
Windows Live Writer
Windows Live-Uploadtool
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Search 4.0
Windows-Treiberpaket - Nokia Modem (02/23/2009 7.01.0.2)
Windows-Treiberpaket - Nokia Modem (02/24/2009 4.0)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
WinRAR
XML Paper Specification Shared Components Language Pack 1.0

Seitenanfang Seitenende
24.06.2009, 14:15
Member

Beiträge: 3716
#2 Hallo, war der stick bei der reinigung mit drann am pc? wenn nein, ist das natürlich sinnlos für den stick gewesen :-)
dein rechner wurde in die ukraine umgeleitet. du hattest außerdem einen rootkit. Wenn du onlinebanking oder sonstige geschäfte mit dem pc machst, musst du der bank mitteilen, das dein pc infiziert war. Außerdem müssen alle passwörter von nem sauberen pc aus geendert werden.
Evtl. auch über ein formatieren des pcs nachdenken.
Schließe den stick an und formatiere ihn einfach.
Arbeitsplatz öffnen, rechtsklick auf dass usb-laufwerk und formatieren.
nun den stick ab.
Update malwarebytes, scanne erneut, poste das log, lösche die funde.
Seitenanfang Seitenende
24.06.2009, 15:01
...neu hier

Themenstarter

Beiträge: 9
#3 also, Stick geht jetzt wieder zu formatieren.

Erneuter log des Malwarebytes anti-Malware

Zitat

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2328
Windows 5.1.2600 Service Pack 3

24.06.2009 15:01:06
mbam-log-2009-06-24 (15-01-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96644
Laufzeit: 2 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
24.06.2009, 15:08
Member

Beiträge: 3716
#4 Lade sdfix, füre es im abges. modus aus,
http://virus-protect.org/artikel/tools/sdfix.html
punkt 1 der anleitung.
poste das log.
Seitenanfang Seitenende
24.06.2009, 15:31
...neu hier

Themenstarter

Beiträge: 9
#5 punkt 1 - log von sdfix

Zitat

SDFix: Version 1.240
Run by Lino on 24.06.2009 at 15:18

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-24 15:27:25
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSIVXserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\MSIVXnbakbpksfrujlhbqpobotxegjigkomxq.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSIVXserv.sys\modules]
"MSIVXserv"="\\?\globalroot\systemroot\system32\drivers\MSIVXnbakbpksfrujlhbqpobotxegjigkomxq.sys"
"MSIVXl"="\\?\globalroot\systemroot\system32\MSIVXxfbpxeyyoiltyqglttwqpucrmpvrxths.dll"
"MSIVXclk"="\\?\globalroot\systemroot\system32\MSIVXfnotbuvkbiqjctlkpxbjbmhavkbhutot.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:b4,6d,90,02,04,00,00,00,66,00,00,00,41,37,35,35,33,45,31,31,42,..
"h0"=dword:00000000
"hdf12"=hex:94,62,5b,9c,e0,dd,b0,bd,07,e1,cb,12,fb,35,a1,6e,70,8c,6c,f2,bd,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,48,37,62,84,af,10,34,c7,c8,3e,bc,d4,ac,05,60,28,0e,..
"hdf12"=hex:98,d6,3f,e1,6a,0c,c3,b5,50,ce,2f,ee,c5,ec,79,ab,af,a7,42,a9,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:39,a6,1a,07,bc,54,73,52,ba,5e,82,32,d3,0f,64,45,38,7a,48,7f,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:b4,6d,90,02,04,00,00,00,66,00,00,00,41,37,35,35,33,45,31,31,42,..
"h0"=dword:00000000
"hdf12"=hex:94,62,5b,9c,e0,dd,b0,bd,07,e1,cb,12,fb,35,a1,6e,70,8c,6c,f2,bd,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,48,37,62,84,af,10,34,c7,c8,3e,bc,d4,ac,05,60,28,0e,..
"hdf12"=hex:98,d6,3f,e1,6a,0c,c3,b5,50,ce,2f,ee,c5,ec,79,ab,af,a7,42,a9,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:39,a6,1a,07,bc,54,73,52,ba,5e,82,32,d3,0f,64,45,38,7a,48,7f,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:b4,6d,90,02,04,00,00,00,66,00,00,00,41,37,35,35,33,45,31,31,42,..
"h0"=dword:00000000
"hdf12"=hex:94,62,5b,9c,e0,dd,b0,bd,07,e1,cb,12,fb,35,a1,6e,70,8c,6c,f2,bd,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,48,37,62,84,af,10,34,c7,c8,3e,bc,d4,ac,05,60,28,0e,..
"hdf12"=hex:98,d6,3f,e1,6a,0c,c3,b5,50,ce,2f,ee,c5,ec,79,ab,af,a7,42,a9,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:39,a6,1a,07,bc,54,73,52,ba,5e,82,32,d3,0f,64,45,38,7a,48,7f,13,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Programme\\Phone Remote Control\\PhoneRemoteControl.exe"="C:\\Programme\\Phone Remote Control\\PhoneRemoteControl.exe:*:Enabled: "
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

Remaining Files :



Files with Hidden Attributes :

Tue 9 Jun 2009 56 ..SHR --- "C:\WINDOWS\system32\37FFD40650.sys"
Tue 9 Jun 2009 1,890 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Mon 17 Mar 2008 308,568 A..H. --- "C:\Programme\Canon\MP Navigator EX 2.0\Maint.exe"
Tue 8 Apr 2008 61,440 A..H. --- "C:\Programme\Canon\MP Navigator EX 2.0\uinstrsc.dll"
Wed 24 Jun 2009 8,981,856 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2353cad5d5a34c25292aa4bc71108d0f\BIT8.tmp"
Wed 24 Jun 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\958fa574392e3dba17bca2e8364cd7fe\BIT9.tmp"
Wed 24 Jun 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a8ec4c06b6533904948a72b6e5536eee\BITA.tmp"
Tue 12 May 2009 4,579,840 ...H. --- "C:\Dokumente und Einstellungen\Lino\Eigene Dateien\Judokan\FSJ\FSJ Lizenzprojekt\~WRL0005.tmp"
Wed 13 May 2009 4,601,344 ...H. --- "C:\Dokumente und Einstellungen\Lino\Eigene Dateien\Judokan\FSJ\FSJ Lizenzprojekt\~WRL0006.tmp"

Finished!

Seitenanfang Seitenende
24.06.2009, 15:34
Member

Beiträge: 3716
#6 ok lade gmer, schalte alle programme ab, gehe registerkarte rootkits, hake alles an, trenne die verbindung zum internet, kabel raus, wlan aus. scanne poste das log.
ps vor dem posten antivirenprogramm wieder einschalten.
http://virus-protect.org/artikel/tools/gmer.html
Seitenanfang Seitenende
25.06.2009, 12:23
...neu hier

Themenstarter

Beiträge: 9
#7 gmer log

Zitat

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-25 08:41:37
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xAEA57A72] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xAEA5801E] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xAEA59A82] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xAEA59438] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xAEA571E8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xAEA5B3E4] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xAEA57E1A] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xAEA5762A] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xAEA5782A] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xAEA59744] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xAEA5B8F0] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xAEA57940] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xAEA579A8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xAEA595FA] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xAEA5AEA8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xAEA59294] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xAEA5734A] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xAEA57C40] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xAEA5B40E] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xAEA57B96] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xAEA57A10] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xAEA57714] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xAEA574F2] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xAEA5B110] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xAEA56E6A] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xAEA5A30C] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xAEA56FCC] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xAEA5B7C0] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xAEA56C68] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xAEA59924] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xAEA57F18] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xAEA5AFA2] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xAEA5B438] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xAEA573A0] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xAEA5B51C] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xAEA5B648] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xAEA5ADD4] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xAEA57CEA] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xAEA57D5C] <-- ROOTKIT !!!

INT 0x62 ? 8AF58BF8
INT 0x82 ? 8AF58BF8
INT 0x83 ? 8A38BBF8
INT 0x84 ? 8A38BBF8
INT 0x94 ? 8A38BBF8
INT 0xB4 ? 8AFC8BF8
INT 0xB4 ? 8A38BBF8
INT 0xB4 ? 8A38BBF8
INT 0xB4 ? 8AFC8BF8

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP AEA6E1E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP AEA6E5A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2C68 80504504 4 Bytes CALL 12FEEA7A
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [1C, B5, A5, AE, 48, B6, A5, ...] {SBB AL, 0xb5; MOVSD ; SCASB ; DEC EAX; MOV DH, 0xa5; SCASB ; AAM 0xad; MOVSD ; SCASB }
.text ntkrnlpa.exe!ZwCallbackReturn + 2FC8 80504864 4 Bytes JMP A4AEA57C
? spsq.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B87348AC 5 Bytes JMP 8A38B1D8
.text a0w4nva2.SYS B5535386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a0w4nva2.SYS B55353AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a0w4nva2.SYS B55353C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a0w4nva2.SYS B55353C9 1 Byte [30]
.text a0w4nva2.SYS B55353C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[2764] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A8042] spsq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A813E] spsq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A80C0] spsq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A8800] spsq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A86D6] spsq.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B7E9C] spsq.sys
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\a0w4nva2.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] 891EA670
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] 891EA670

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8AFC71F8

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\NetBT \Device\NetBT_Tcpip_{47798612-2C94-4412-B797-044C550EF190} 8988D500
Device \Driver\usbuhci \Device\USBPDO-0 8A38A1F8
Device \Driver\usbuhci \Device\USBPDO-1 8A38A1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AFC91F8
Device \Driver\dmio \Device\DmControl\DmConfig 8AFC91F8
Device \Driver\dmio \Device\DmControl\DmPnP 8AFC91F8
Device \Driver\dmio \Device\DmControl\DmInfo 8AFC91F8
Device \Driver\usbehci \Device\USBPDO-2 8A3621F8
Device \Driver\usbuhci \Device\USBPDO-3 8A38A1F8
Device \Driver\usbehci \Device\USBPDO-4 8A3621F8

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\PCI_PNP3200 \Device\00000056 spsq.sys
Device \Driver\usbuhci \Device\USBPDO-5 8A38A1F8
Device \Driver\usbuhci \Device\USBPDO-6 8A38A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AF591F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8AF591F8
Device \Driver\Cdrom \Device\CdRom0 8A0611F8
Device \Driver\Cdrom \Device\CdRom1 8A0611F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8988D500
Device \Driver\NetBT \Device\NetbiosSmb 8988D500
Device \Driver\sptd \Device\4239210700 spsq.sys

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\usbuhci \Device\USBFDO-0 8A38A1F8
Device \Driver\usbuhci \Device\USBFDO-1 8A38A1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89AB4500
Device \Driver\usbehci \Device\USBFDO-2 8A3621F8
Device 89AB4500
Device \Driver\usbuhci \Device\USBFDO-3 8A38A1F8
Device \Driver\usbuhci \Device\USBFDO-4 8A38A1F8
Device \Driver\Ftdisk \Device\FtControl 8AF591F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{BB4017CA-A28F-44CF-8AE0-B53C9A3BCCBD} 8988D500
Device \Driver\usbuhci \Device\USBFDO-5 8A38A1F8
Device \Driver\usbehci \Device\USBFDO-6 8A3621F8
Device \Driver\a0w4nva2 \Device\Scsi\a0w4nva21Port3Path0Target0Lun0 89F5B1F8
Device \Driver\a0w4nva2 \Device\Scsi\a0w4nva21 89F5B1F8
Device 899DA500
Device A2E4C297

AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 8A120500
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Threads - GMER 1.0.15 ----

Thread System [4:816] 89228E50
Thread System [4:820] 89228E50
Thread System [4:824] 891F7F80
Thread System [4:828] 891F7F80
Thread System [4:836] 891F7F80

---- Services - GMER 1.0.15 ----

Service C:\Programme\Dell (*** hidden *** ) [AUTO] sprtsvc_dellsupportcenter <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys@imagepath \systemroot\system32\drivers\MSIVXnbakbpksfrujlhbqpobotxegjigkomxq.sys
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys\modules
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys\modules@MSIVXserv \\?\globalroot\systemroot\system32\drivers\MSIVXnbakbpksfrujlhbqpobotxegjigkomxq.sys
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys\modules@MSIVXl \\?\globalroot\systemroot\system32\MSIVXxfbpxeyyoiltyqglttwqpucrmpvrxths.dll
Reg HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys\modules@MSIVXclk \\?\globalroot\systemroot\system32\MSIVXfnotbuvkbiqjctlkpxbjbmhavkbhutot.dll
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xB4 0x6D 0x90 0x02 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0x62 0x5B 0x9C ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x98 0xD6 0x3F 0xE1 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x39 0xA6 0x1A 0x07 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xB4 0x6D 0x90 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0x62 0x5B 0x9C ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x98 0xD6 0x3F 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x39 0xA6 0x1A 0x07 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xB4 0x6D 0x90 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x94 0x62 0x5B 0x9C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x98 0xD6 0x3F 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x39 0xA6 0x1A 0x07 ...

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
26.06.2009, 12:28
Member

Beiträge: 3716
#8 ok, da ich noch ne weile brauchen werde, mache folgendes:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/110688-kaspersky-internet-security-2009-a.html
kaspersky so einstellen, updaten, scannen, funde in quarantäne, log posten.
Seitenanfang Seitenende
26.06.2009, 15:54
Member

Beiträge: 3716
#9 ok noch ein paar weitere rootkitscans:
http://virus-protect.org/rootkitscanner.html
blacklight chatchme und
und rootkitrevialer:
http://technet.microsoft.com/de-de/sysinternals/bb897445.aspx
logs posten.
Seitenanfang Seitenende
29.06.2009, 12:05
...neu hier

Themenstarter

Beiträge: 9
#10 soo, der Log von KIS 09:

Zitat

Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
24.06.2009 08:18:21 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
24.06.2009 08:07:24 Aufgabe wurde abgeschlossen
24.06.2009 08:07:22 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
24.06.2009 08:07:19 Aufgabe wurde abgeschlossen
24.06.2009 08:07:19 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
24.06.2009 07:32:06 Aufgabe wurde abgeschlossen
24.06.2009 07:32:06 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
24.06.2009 07:26:19 Aufgabe wurde abgeschlossen
24.06.2009 07:26:16 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
03.06.2009 18:24:41 Aufgabe wurde abgeschlossen
03.06.2009 18:24:38 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
29.06.2009 08:42:14 Aufgabe wurde gestartet
29.06.2009 08:42:14 Aufgabe wurde abgeschlossen
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
29.06.2009 11:36:01 Aufgabe wurde abgeschlossen
29.06.2009 11:35:46 Gefunden: http://www.viruslist.com/de/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.1.0.0_x-ww_b319d8da\msxml4.dll
29.06.2009 11:35:46 Gefunden: http://www.viruslist.com/de/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
29.06.2009 11:34:59 Gefunden: http://www.viruslist.com/de/advisories/34012 C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx
29.06.2009 11:19:35 Gefunden: http://www.viruslist.com/de/advisories/35091 C:\Programme\quicktime\quicktimeplayer.exe
29.06.2009 11:17:51 Gefunden: http://www.viruslist.com/de/advisories/34471 C:\Programme\Mozilla Firefox\firefox.exe
29.06.2009 11:03:28 Gefunden: http://www.viruslist.com/de/advisories/35377 C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
29.06.2009 11:03:23 Gefunden: http://www.viruslist.com/de/advisories/34572 C:\Programme\Microsoft Office\OFFICE11\powerpnt.exe
29.06.2009 11:03:22 Gefunden: http://www.viruslist.com/de/advisories/29320 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
29.06.2009 11:03:13 Gefunden: http://www.viruslist.com/de/advisories/35364 C:\Programme\Microsoft Office\OFFICE11\excel.exe
29.06.2009 11:00:24 Gefunden: http://www.viruslist.com/de/advisories/35359 C:\Programme\IrfanView\i_view32.exe
29.06.2009 10:55:42 Gefunden: http://www.viruslist.com/de/advisories/31744 C:\Programme\Gemeinsame Dateien\Microsoft Shared\office11\mso.dll
29.06.2009 10:55:42 Gefunden: http://www.viruslist.com/de/advisories/31744 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Office10\MSO.DLL
29.06.2009 10:47:03 Gefunden: http://www.viruslist.com/de/advisories/34580 C:\Programme\Adobe\Reader 9.0\Reader\plug_ins\Annots.DEU
29.06.2009 08:44:24 Verarbeitungsfehler: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013478.exe
29.06.2009 08:44:24 Nicht desinfizierte Objekte: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013478.exe/data0002 Zurückgestellt
29.06.2009 08:44:24 Gefunden: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013478.exe/data0002
29.06.2009 08:44:24 Verarbeitungsfehler: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013477.exe
29.06.2009 08:44:24 Verarbeitungsfehler: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013479.exe
29.06.2009 08:44:24 Nicht desinfizierte Objekte: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013479.exe/data0002 Zurückgestellt
29.06.2009 08:44:24 Gefunden: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013479.exe/data0002
29.06.2009 08:44:24 Nicht desinfizierte Objekte: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013477.exe/data0002 Zurückgestellt
29.06.2009 08:44:23 Gefunden: Trojan.Win32.Tdss.aiac C:\System Volume Information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP45\A0013477.exe/data0002
29.06.2009 08:27:51 Gefunden: http://www.viruslist.com/de/advisories/35091 C:\Programme\quicktime\quicktimeplayer.exe
29.06.2009 08:27:39 Gefunden: http://www.viruslist.com/de/advisories/35314 C:\Programme\iTunes\iTunes.exe
29.06.2009 08:27:08 Gefunden: http://www.viruslist.com/de/advisories/35377 C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
29.06.2009 08:27:08 Gefunden: http://www.viruslist.com/de/advisories/34471 C:\Programme\Mozilla Firefox\firefox.exe
29.06.2009 08:27:07 Gefunden: http://www.viruslist.com/de/advisories/34572 C:\Programme\Microsoft Office\OFFICE11\powerpnt.exe
29.06.2009 08:27:02 Gefunden: http://www.viruslist.com/de/advisories/29320 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
29.06.2009 08:27:01 Gefunden: http://www.viruslist.com/de/advisories/35364 C:\Programme\Microsoft Office\OFFICE11\excel.exe
29.06.2009 08:25:00 Gefunden: http://www.viruslist.com/de/advisories/34471 C:\Programme\Mozilla Firefox\firefox.exe
29.06.2009 08:24:46 Gefunden: http://www.viruslist.com/de/advisories/29320 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
29.06.2009 08:24:43 Gefunden: http://www.viruslist.com/de/advisories/31744 C:\Programme\Gemeinsame Dateien\Microsoft Shared\office11\mso.dll
29.06.2009 08:24:42 Gefunden: http://www.viruslist.com/de/advisories/35377 C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
29.06.2009 08:24:07 Gefunden: http://www.viruslist.com/de/advisories/35314 C:\Programme\iTunes\iTunes.exe
29.06.2009 08:23:54 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
26.06.2009 14:31:04 Aufgabe wurde abgeschlossen
26.06.2009 14:24:39 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
26.06.2009 13:17:25 Aufgabe wurde abgeschlossen
26.06.2009 13:17:25 Gelöscht: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
26.06.2009 13:17:21 Gefunden: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
26.06.2009 13:17:21 Nicht desinfizierte Objekte: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx Zurückgestellt
26.06.2009 13:17:21 Gefunden: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
26.06.2009 13:01:05 Aufgabe wurde gestartet
Auf Viren untersuchen: abgeschlossen 26.06.2009 13:17:25 (Ereignis: 6, Objekte: 67434, Zeit: 00:16:20)
24.06.2009 12:06:07 Aufgabe wurde abgeschlossen
24.06.2009 12:04:49 Aufgabe wurde gestartet
RootkitReveal

Zitat

HKU\S-1-5-21-3299028012-3044900697-2752042509-1005\Console 26.06.2009 13:37 0 bytes Security mismatch.
HKU\S-1-5-21-3299028012-3044900697-2752042509-1005\RemoteAccess\InternetProfile 01.05.2009 22:48 43 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-3299028012-3044900697-2752042509-1005\Software\Skype\Toolbars\Firefox\ExtensionVersion 04.05.2009 09:57 9 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 25.04.2008 17:15 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 25.04.2008 17:15 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 29.06.2009 11:54 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQLServer\Parameters 24.05.2009 21:39 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL10.SQLEXPRESS\Security 24.05.2009 21:39 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0CDFA50527E582943886D5AE83E56374\Usage\MainApplications 29.06.2009 11:45 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\C6B56403F35B1A94E9AB3A1F78DA05E2\Usage\SoleFeature 29.06.2009 11:45 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\swearware\backup\winsock2 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009 26.06.2009 13:24 0 bytes Security mismatch.
HKLM\SOFTWARE\swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010 26.06.2009 13:24 0 bytes Security mismatch.
HKL
Blacklight und catchme haben irgendwie keine Logs ausgespuckt *grübel*
Seitenanfang Seitenende
29.06.2009, 12:26
Member

Beiträge: 3716
#11 gabs funde?
Seitenanfang Seitenende
01.07.2009, 20:33
...neu hier

Themenstarter

Beiträge: 9
#12 ähm, nein, bie backligth und catchme gabs glaub ich keine funde.

KIS 2010 sppuckt folgendes aus:

Zitat

Datum: Heute (Ereignisse: 105)
Schutz-Center (Ereignisse: 1)
01.07.2009 09:18:33 Die Datenbanken sind stark veraltet Kaspersky Internet Security
Datei-Anti-Virus (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Datei-Anti-Virus
Mail-Anti-Virus (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Mail-Anti-Virus
Web-Anti-Virus (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Web-Anti-Virus
Schutz vor Netzwerkangriffen (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Schutz vor Netzwerkangriffen
Anti-Spam (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Anti-Spam
Programmkontrolle (Ereignisse: 83)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Programmkontrolle
01.07.2009 09:18:35 Microsoft(C) Registerserver Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 Windows NT-Sitzungs-Manager Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 Client Server Runtime Process Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 Windows NT-Anmeldung Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 Anwendung für Dienste und Controller Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 LSA Shell (Export Version) Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 Generic Host Process for Win32 Services Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:35 WLTRYSVC.EXE Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:35 Dell Wireless WLAN Card Wireless Network Controller Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:36 Spooler SubSystem App Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:36 Apple Mobile Device Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:36 Bonjour Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:36 Inkjet Printer/Scanner Extended Servey Program Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:36 Java(TM) Quick Starter Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 SQL Server Windows NT Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 Windows Explorer Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 NVIDIA Driver Helper Service, Version 175.97 Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 O2 Flash Memory Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 Microsoft SeaPort Search Enhancement Broker Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 SupportSoft Agent Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 SQL Server VSS Writer Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 Microsoft Windows Search Indexer Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 Windows Security Center Notification App Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 WMI-Leistungsadapter-Dienst Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 Application Layer Gateway Service Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:39 Alps Pointing-device Driver Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Realtek HD Audio Control Panel Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Eine DLL-Datei als Anwendung ausführen Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 ApMsgFwd Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Live! Cam Console Auto Launcher Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Dell Wireless WLAN Card Wireless Network Tray Applet Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:40 CyberLink PowerDVD Resident Program Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Java(TM) Platform SE binary Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Alps Pointing-device Driver Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Alps Pointing-device Driver for Windows NT/2000/XP/Vista Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 iTunesHelper Module Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 SPRTCMD.EXE Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 FreePDF Assistent für FreePDF3 Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:40 CTF Loader Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Macrovision Software Manager Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:40 Nokia Launch Application Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:41 Skype Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:41 Cobian Backup Amanita Application Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:41 TosBtMng Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:18:42 Miranda IM Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:42 Wallpaper Changer Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:42 TosA2dp Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:18:42 Cobian Backup Amanita Interface Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:42 ServiceLayer Module Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:42 TOSBTHID.EXE Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:18:42 TosBtHSP Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:18:42 NclUSBSrv Application Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:42 NclRSSrv Application Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:42 NclToBTSrv Application Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:18:43 iPodService Module Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:43 tosOBEX Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:18:43 Skype Extras Manager Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:43 TosBtProc Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:18:43 Windows Update Automatic Updates Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:43 Windows® installer Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:43 Kaspersky Internet Security Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:18:43 Kaspersky Anti-Virus GUI Windows part Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:19:58 Macrovision Software Manager Agent Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:21:22 iTunes Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:21:34 iTunesControl Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
01.07.2009 09:21:42 iTunesControl Zugeordnet zu Gruppe Vertrauenswürdig
01.07.2009 09:28:17 Wallpaper Changer Zugeordnet zu Gruppe Vertrauenswürdig
01.07.2009 09:38:39 Microsoft Windows Search Protocol Host Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:38:40 Microsoft Windows Search Filter Host Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:38:41 NVIDIA Display Properties Extension Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:45:02 Disk Defragmenter Module Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:45:02 NTFS-Defragmentierung Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:49:48 Microsoft Office Outlook Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:49:56 Microsoft Office Word Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:51:56 Firefox Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:52:20 WebToolBar component Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:52:23 Java(TM) Quick Starter binary Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:56:46 Dell Wireless WLAN Card Wireless Network Controller Zugeordnet zu Gruppe Vertrauenswürdig
01.07.2009 09:56:46 Erlaubt: Zugriff auf Kennwortspeicher Dell Wireless WLAN Card Wireless Network Controller Zugriff auf geschützten Kennwortspeicher Zugriff auf Kennwortspeicher
01.07.2009 09:59:22 DrWatson Postmortem-Debugger Zugeordnet zu Gruppe Vertrauenswürdig Besitzt die digitale Signatur eines vertrauenswürdigen Herstellers
01.07.2009 09:59:52 Bluetooth PAN Client Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
01.07.2009 09:59:53 Bluetooth PAN Server Zugeordnet zu Gruppe Vertrauenswürdig Bekannt aus der Datenbank für bekannten Software
Selbstschutz (Ereignisse: 3)
01.07.2009 09:45:05 Verboten NTFS-Defragmentierung Öffnen C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
01.07.2009 09:52:20 Verboten WebToolBar component Öffnen C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
01.07.2009 09:56:59 Verboten WebToolBar component Öffnen C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
Proaktiver Schutz (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Proaktiver Schutz
Firewall (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security Firewall
IM-Anti-Virus (Ereignisse: 1)
01.07.2009 09:18:33 Aufgabe wurde gestartet Kaspersky Internet Security IM-Anti-Virus
Untersuchung von Objekten (Ereignisse: 8)
01.07.2009 09:48:38 Aufgabe wurde gestartet Kaspersky Internet Security Rootkit-Suche
01.07.2009 09:51:57 Aufgabe wurde abgeschlossen Kaspersky Internet Security Rootkit-Suche
01.07.2009 09:57:28 Aufgabe wurde gestartet Kaspersky Internet Security Vollständige Untersuchung
01.07.2009 09:57:35 Aufgabe wurde beendet Kaspersky Internet Security Vollständige Untersuchung
01.07.2009 10:00:03 Aufgabe wurde gestartet Kaspersky Internet Security Vollständige Untersuchung
01.07.2009 10:00:17 Aufgabe wurde beendet Kaspersky Internet Security Vollständige Untersuchung
01.07.2009 10:00:22 Aufgabe wurde gestartet Kaspersky Internet Security Vollständige Untersuchung
01.07.2009 10:37:52 Aufgabe wurde abgeschlossen Kaspersky Internet Security Vollständige Untersuchung
Update (Ereignisse: 2)
01.07.2009 09:48:39 Aufgabe wurde gestartet Kaspersky Internet Security Update
01.07.2009 09:53:31 Aufgabe wurde abgeschlossen Kaspersky Internet Security Update
Seitenanfang Seitenende
01.07.2009, 20:58
Member

Beiträge: 3716
#13 Hi, hast du auch mit "scharfen" einstellungen gescannt, findest du in der pdf-datei die ich dir geschickt hatte.
Seitenanfang Seitenende
02.07.2009, 12:01
Member

Beiträge: 3716
#14 Start ausfüren
combofix /u
enter.

lade OTCleanIt.exe
http://www.virus-protect.org/artikel/tools/otmoveIt.html
ist zur toolbereinigung, (löscht alles was wir verwendet haben an spezial tools)
führe noch einen online-scan aus:
www.f-secure.com/de_DE/.../online-scanner/ -
poste das log.
Seitenanfang Seitenende
02.07.2009, 13:14
...neu hier

Themenstarter

Beiträge: 9
#15 F-Secure-Log

Zitat

Scanning Report
Thursday, July 2, 2009 12:49:26 - 13:13:56

Computer name: LINOWITSCH
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\
3 malware found
TrackingCookie.2o7 (spyware)

* System (Disinfected)

TrackingCookie.Atdmt (spyware)

* System (Disinfected)

TrackingCookie.Doubleclick (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 48203
* System: 3781
* Not scanned: 9

Actions:

* Disinfected: 3
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOKUMENTE UND EINSTELLUNGEN\LINO\LOKALE EINSTELLUNGEN\TEMP\ETILQS_ATAF1CGEO0YFGGGNUXKQ
* C:\DOKUMENTE UND EINSTELLUNGEN\LINO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\OUTLOOK\OUTLOOK.PST

Options
Scanning engines:

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use advanced heuristics

Copyright © 1998-2009 Product support | Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name. This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: