Home » Viren, Trojaner & Malware Forum » Antivir meldet Trojaner und Wurm bekomm sie aber nicht weg. » Themenansicht
Antivir meldet Trojaner und Wurm bekomm sie aber nicht weg.Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
31.07.2009, 20:38
Member
Beiträge: 104 |
||
 
|
|
|
|
31.07.2009, 20:41
Member
Themenstarter Beiträge: 104 |
#2
Hab gerade wieder ne meldung von nem Trojaner. Heißt TR/Crypt.ZPACK.GEN
Und nun öffnet sich auch ab und zu mal ein Fenster wo drin steht: Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden. Hilfe bitte!!!!!!!!!!! |
|
|
|
|
|
|
31.07.2009, 20:56
Member
 Beiträge: 301 |
#3
Du hast da ein Rootkit auf deinem Rechner !
Neu aufsetzten wäre imho besser ! Du solltest dich beim neuaufsetzten an dieser Anleitung orientieren ! http://board.protecus.de/t13020.htm __________ Mein Leben verläuft streng nach Murphys Gesetz |
|
|
|
|
|
|
31.07.2009, 21:29
Member
Themenstarter Beiträge: 104 |
#4
Was ist den ein Rootkit?
|
|
|
|
|
|
|
31.07.2009, 21:51
Member
Beiträge: 301 |
#5
google solltest du schon noch bedienen können !
http://de.wikipedia.org/wiki/Rootkit __________ Mein Leben verläuft streng nach Murphys Gesetz |
|
|
|
|
|
|
31.07.2009, 22:09
Member
Themenstarter Beiträge: 104 |
#6
kann ich das nicht entfernen?Hab den rechner gerade erst neu aufgesetzt.Schön wäre es.
|
|
|
|
|
|
|
31.07.2009, 22:20
Member
Beiträge: 301 |
#7
Man kann es entfernen aber neuaufsetzten wäre schneller und sicherer! Außerdem kann es bei der Reinigung passieren dass dein System beschädigt wird und du sowieso neuaufsetzten musst !
Wenn du Reinigen willst musst du warten bis die Virenprofis wieder da sind (Swiss;Virenfinder usw). Da trau ich mich nicht ran ! __________ Mein Leben verläuft streng nach Murphys Gesetz |
|
|
|
|
|
|
31.07.2009, 22:32
Ehrenmitglied
 Beiträge: 6028 |
#8
Temp File Cleaner
Download TFC.exe by OldTimer zum Desktop Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator" Lasse Temp File Cleaner seine Arbeit tun Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Download link 1 ComboFix Download link 2 ComboFix Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung __________ MfG Argus |
|
|
|
|
|
|
01.08.2009, 18:55
Member
Themenstarter Beiträge: 104 |
#9
COMBOFIX
ComboFix 09-07-31.04 - Administrator 01.08.2009 18:47.2.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.745 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-07-01 bis 2009-08-01 )))))))))))))))))))))))))))))) . 2009-07-30 17:48 . 2009-07-30 21:22 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BitTorrent 2009-07-30 17:47 . 2009-07-30 17:47 -------- d-----w- C:\Program Files 2009-07-30 17:47 . 2009-07-30 17:47 -------- d-----w- c:\programme\BitTorrent 2009-07-30 16:51 . 2009-07-30 16:51 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-07-30 16:51 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-30 16:51 . 2009-07-30 16:51 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-30 16:51 . 2009-07-30 16:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-30 16:51 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-29 20:58 . 2009-07-29 21:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FaceOnBody 2009-07-29 20:58 . 2009-07-29 21:21 -------- d-----w- c:\programme\FaceOnBody 2009-07-29 04:43 . 2009-07-29 04:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX 2009-07-28 20:25 . 2009-07-28 20:32 -------- d-----w- c:\programme\Microsoft Picture It! 7 2009-07-28 19:39 . 2009-07-28 20:23 -------- d-----w- c:\programme\Microsoft Works 2009-07-28 19:38 . 2009-07-28 19:38 -------- d-----w- c:\programme\Microsoft Works Suite 2003 2009-07-28 19:27 . 2009-07-28 19:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\HP 2009-07-28 19:26 . 2009-07-28 19:26 -------- d-----w- c:\programme\Gemeinsame Dateien\HP 2009-07-28 19:25 . 2009-07-28 19:25 -------- d-----w- c:\programme\Hewlett-Packard 2009-07-28 19:24 . 2009-07-28 19:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP 2009-07-28 19:19 . 2009-07-28 19:26 -------- d-----w- c:\programme\HP 2009-07-28 18:45 . 2009-07-28 19:27 79758 ----a-w- c:\windows\hpfins05.dat 2009-07-28 18:45 . 2005-05-24 02:51 1395 ------w- c:\windows\hpfmdl05.dat 2009-07-28 18:44 . 2005-04-08 17:44 45056 ----a-w- c:\windows\system32\hpzll3xu.dll 2009-07-28 18:44 . 2005-04-28 03:37 77824 ----a-r- c:\windows\system32\hpzids01.dll 2009-07-28 18:40 . 2004-08-03 21:01 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys 2009-07-28 18:40 . 2004-08-03 21:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys 2009-07-28 18:11 . 2009-07-28 18:11 -------- d-----w- c:\windows\Sun 2009-07-27 17:58 . 2009-07-27 17:58 -------- d-----w- c:\programme\Lavalys 2009-07-26 12:02 . 2009-07-26 12:02 -------- d-----w- c:\dokumente und einstellungen\Administrator\.artofillusion 2009-07-26 12:01 . 2009-07-26 12:01 -------- d-----w- c:\programme\ArtOfIllusion 2009-07-26 11:33 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-07-26 11:33 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-07-26 11:33 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-07-26 11:33 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-07-26 11:33 . 2009-07-26 11:33 -------- d-----w- c:\programme\Avira 2009-07-26 11:33 . 2009-07-26 11:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-07-25 22:47 . 2009-07-25 22:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CyberLink 2009-07-25 14:50 . 2002-10-17 08:35 26096 ----a-r- c:\windows\system32\xmlinst.exe 2009-07-25 14:50 . 2002-01-07 14:30 24576 ----a-r- c:\windows\system32\msxml3a.dll 2009-07-25 14:50 . 2000-03-17 06:21 36864 ----a-r- c:\windows\system32\xmlparse.dll 2009-07-25 14:50 . 2000-03-17 06:21 69632 ----a-r- c:\windows\system32\xmltok.dll 2009-07-25 14:50 . 1998-06-17 22:00 89360 ----a-r- c:\windows\system32\VB5DB.DLL 2009-07-25 14:50 . 2009-07-25 14:50 -------- d-----w- c:\programme\Ubisoft 2009-07-25 14:23 . 2009-07-25 15:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ 2009-07-25 14:22 . 2009-07-25 15:13 -------- d-----w- c:\programme\ICQ6.5 2009-07-25 14:07 . 2009-07-25 14:07 10345 ----a-w- c:\windows\system32\drivers\hamachi.sys 2009-07-25 14:07 . 2009-07-25 14:07 -------- d-----w- c:\programme\Hamachi 2009-07-25 14:07 . 2009-07-25 14:07 -------- d-----w- C:\Medion 2009-07-25 14:04 . 2009-07-25 14:07 -------- d-----w- c:\programme\Teamspeak2_RC2 2009-07-25 13:45 . 2009-07-25 13:45 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ATI 2009-07-25 13:45 . 2009-07-25 13:45 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\ATI 2009-07-25 13:40 . 2009-07-25 13:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-07-25 13:40 . 2009-07-25 13:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-07-25 13:40 . 2009-07-25 13:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-07-25 13:39 . 2009-07-25 13:40 -------- d-----w- c:\programme\Skype 2009-07-25 13:36 . 2009-07-25 13:36 -------- d-----w- c:\programme\MSECache 2009-07-25 13:03 . 2009-07-25 14:36 -------- d-----w- C:\Spiele 2009-07-25 12:46 . 2009-07-25 12:47 -------- d-----w- c:\programme\QuickTime 2009-07-25 12:46 . 2009-07-25 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple 2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\programme\Apple Software Update 2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple Computer 2009-07-25 12:44 . 2009-07-25 12:44 -------- d-----w- c:\programme\IrfanView 2009-07-25 12:41 . 2009-07-25 12:40 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-07-25 12:39 . 2009-07-25 12:39 -------- d-----w- c:\programme\Java 2009-07-25 12:37 . 2009-07-25 12:37 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll 2009-07-25 12:31 . 2009-07-25 12:31 28164 ----a-w- c:\windows\system32\drivers\MxlW2k.sys 2009-07-25 12:30 . 2009-07-25 12:30 -------- d-----w- c:\programme\MUSICMATCH 2009-07-25 12:26 . 1998-11-17 10:44 328704 ----a-w- c:\windows\IsUn0407.exe 2009-07-25 12:25 . 2009-07-25 12:26 -------- d-----w- c:\programme\CCleaner 2009-07-25 12:25 . 2002-04-19 00:15 13780 ------w- c:\windows\system32\drivers\pfc.sys 2009-07-25 12:23 . 2009-07-25 12:23 -------- d-----w- C:\pdwork 2009-07-25 12:23 . 2009-07-25 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink 2009-07-25 12:23 . 2009-07-25 12:24 -------- d-----w- c:\programme\CyberLink 2009-07-25 12:22 . 2009-07-25 12:25 -------- d-----w- c:\programme\Medion 2009-07-25 12:03 . 2009-07-25 12:03 0 ----a-w- c:\windows\nsreg.dat 2009-07-25 12:03 . 2009-07-25 12:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla 2009-07-25 11:37 . 2009-07-25 11:37 -------- d-----w- c:\windows\system32\ALIEHCI 2009-07-25 11:37 . 2003-07-04 14:13 106168 ----a-w- c:\windows\system32\drivers\ALiEHCI.SYS 2009-07-25 11:37 . 2003-07-04 12:25 5337 ----a-w- c:\windows\system32\drivers\ALiRTHUB.SYS 2009-07-25 11:37 . 2003-07-04 12:24 17835 ----a-w- c:\windows\system32\drivers\ALiHUB.SYS 2009-07-25 11:37 . 2003-07-04 12:24 8668 ----a-w- c:\windows\system32\drivers\ALiGP.SYS 2009-07-25 11:37 . 2003-01-11 15:20 28672 ----a-w- c:\windows\system32\Unusb20.exe 2009-07-25 11:37 . 2001-11-13 19:24 35587 ----a-w- c:\windows\system32\rmusb20.EXE 2009-07-25 11:37 . 2000-01-07 13:20 12288 ----a-w- c:\windows\system32\PCIVP.SYS 2009-07-25 11:37 . 2009-07-25 11:37 -------- d-----w- c:\windows\system32\M5455 2009-07-25 11:36 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-28 20:39 . 2009-07-25 09:56 55576 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-27 18:14 . 2009-07-25 09:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Alice 2009-07-27 18:13 . 2009-07-25 09:52 -------- d-----w- c:\programme\Alice 2009-07-26 09:29 . 2009-07-25 09:02 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-07-25 14:23 . 2009-07-25 09:33 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-25 14:10 . 2009-07-25 14:09 -------- d-----w- c:\programme\DivX 2009-07-25 14:10 . 2009-07-25 14:10 -------- d-----w- c:\programme\Google 2009-07-25 10:24 . 2009-07-25 10:24 -------- d-----w- c:\programme\Realtek AC97 2009-07-25 10:23 . 2009-07-25 09:32 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-07-25 09:47 . 2009-07-25 09:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ATI 2009-07-25 09:42 . 2009-07-25 09:33 -------- d-----w- c:\programme\ATI Technologies 2009-07-25 09:40 . 2009-07-25 09:40 9158 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}\ARPPRODUCTICON.exe 2009-07-25 09:40 . 2009-07-25 09:40 -------- d-----w- c:\programme\Gemeinsame Dateien\ATI Technologies 2009-07-25 09:40 . 2004-11-11 12:00 70580 ----a-w- c:\windows\system32\perfc007.dat 2009-07-25 09:40 . 2004-11-11 12:00 405118 ----a-w- c:\windows\system32\perfh007.dat 2009-07-25 09:16 . 2009-07-25 09:16 -------- d-----w- c:\programme\Microsoft IntelliPoint 2009-07-25 09:04 . 2009-07-25 09:04 -------- d-----w- c:\programme\microsoft frontpage 2009-07-25 09:01 . 2009-07-25 09:01 -------- d-----w- c:\programme\Online-Dienste 2009-07-25 09:00 . 2009-07-25 09:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste 2009-07-25 08:59 . 2009-07-25 08:59 21740 ----a-w- c:\windows\system32\emptyregdb.dat 2009-07-15 21:31 . 2009-07-25 12:02 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll . ------- Sigcheck ------- [-] 2004-11-11 12:00 359040 09EB23A4567BDD56D9580A059E616E23 c:\windows\system32\drivers\tcpip.sys . ((((((((((((((((((((((((((((( SnapShot@2009-07-31_16.39.34 ))))))))))))))))))))))))))))))))))))))))) . + 2009-08-01 16:17 . 2009-08-01 16:17 16384 c:\windows\Temp\Perflib_Perfdata_42c.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360] "BitTorrent"="c:\programme\BitTorrent\bittorrent.exe" [2006-11-01 43008] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Ubisoft register.lnk] path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Ubisoft register.lnk backup=c:\windows\pss\Ubisoft register.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Hamachi\\hamachi.exe"= "c:\\Spiele\\Pacificfighters\\pf.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "2991:TCP"= 2991:TCP:jiqgvwpk R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [25.07.2009 11:53 15187] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.07.2009 13:33 108289] R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [25.07.2009 11:53 15571] S2 lhehtfi;Windows Monitor;c:\windows\system32\svchost.exe -k netsvcs [11.11.2004 14:00 14336] S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;c:\windows\system32\drivers\NtApm.sys [25.07.2009 11:52 9472] S3 PDNETCTL;ProDyne MicroPPPoE;c:\windows\system32\drivers\pdnetctl.sys [07.09.2005 23:09 39936] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs lhehtfi . Inhalt des "geplante Tasks" Ordners 2009-07-25 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42] . . ------- Zusätzlicher Suchlauf ------- . FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\paba9hlg.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-01 18:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lhehtfi] "ServiceDll"="c:\windows\system32\xmbfnzfx.dll" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(688) c:\windows\system32\sfc_os.dll c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3216) c:\windows\system32\msi.dll . Zeit der Fertigstellung: 2009-08-01 18:54 ComboFix-quarantined-files.txt 2009-08-01 16:54 ComboFix2.txt 2009-07-31 16:41 Vor Suchlauf: 9 Verzeichnis(se), 110.146.904.064 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 110.111.694.848 Bytes frei 248 |
|
|
|
|
|
|
01.08.2009, 19:15
Ehrenmitglied
Beiträge: 6028 |
#10
Download OTM.exe zum Desktop
Oeffne:OTM.exe (Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator") Doppelklick OTM.exe Kopiere in das Fenster wo steht“Paste Instructions for Items to be moved“ Unter den Gelben streifen steht Folgendes rein Code :ProcessesKlicke den Roten Moveit! Button Kopiere jetzt alles ab was in das Results Fenster steht (gruener streifen) Und Poste dessen Inhalt es in dein nächsten Antwort Danach dein Rechner neu starten SysProt AntiRootkit Support: Windows 2000/XP/2003/Vista 32-bit Kreiere auf dein Desktop eine neuen Ordner mit namen z.b Sysprot Download Sysprot.exe dahin Entpacke SysProt AntiRootkit Schliesse alle Fenster und starte SysProt.exe Klicke auf den Reiter Log und setze ein Häkchen in: Process SSDT Kernel Hooks Ports Hidden Files Klicke jetzt Create Log Am Ende erscheint ein Logfile (C:\SysProtLog.txt) Poste dessen Inhalt hier im Thread __________ MfG Argus |
|
|
|
|
|
|
01.08.2009, 20:24
Member
Themenstarter Beiträge: 104 |
#11
OTM
All processes killed ========== PROCESSES ========== ========== SERVICES/DRIVERS ========== ========== REGISTRY ========== ========== FILES ========== File/Folder c:\windows\system32\xmbfnzfx.dll not found. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 89927 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 27601326 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 1108850 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 27,50 mb OTM by OldTimer - Version 3.0.0.5 log created on 08012009_201514 Files moved on Reboot... Registry entries deleted on Reboot... |
|
|
|
|
|
|
01.08.2009, 20:43
Member
Themenstarter Beiträge: 104 |
#12
SYSPROT
SysProt AntiRootkit v1.0.1.0 by swatkat ****************************************************************************************** ****************************************************************************************** Process: Name: [System Idle Process] PID: 0 Hidden: No Window Visible: No Name: System PID: 4 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\smss.exe PID: 568 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\csrss.exe PID: 640 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\winlogon.exe PID: 672 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\services.exe PID: 720 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\lsass.exe PID: 732 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\ati2evxx.exe PID: 896 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 912 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 960 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 1080 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\ati2evxx.exe PID: 1168 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 1224 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 1392 Hidden: No Window Visible: No Name: C:\WINDOWS\explorer.exe PID: 1484 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\spoolsv.exe PID: 1648 Hidden: No Window Visible: No Name: C:\Programme\Avira\AntiVir Desktop\sched.exe PID: 1720 Hidden: No Window Visible: No Name: C:\Programme\Avira\AntiVir Desktop\avguard.exe PID: 540 Hidden: No Window Visible: No Name: C:\Programme\Java\jre6\bin\jqs.exe PID: 632 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\alg.exe PID: 1984 Hidden: No Window Visible: No Name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe PID: 1200 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\ctfmon.exe PID: 2000 Hidden: No Window Visible: No Name: C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PID: 908 Hidden: No Window Visible: No Name: C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PID: 3444 Hidden: No Window Visible: No Name: C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PID: 3452 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\wscntfy.exe PID: 2544 Hidden: No Window Visible: No Name: C:\Dokumente und Einstellungen\Administrator\Desktop\SysProt\SysProt\SysProt.exe PID: 3064 Hidden: No Window Visible: Yes ****************************************************************************************** ****************************************************************************************** SSDT: Function Name: ZwCreateKey Address: F7E101D6 Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwCreateThread Address: F7E101CC Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwDeleteKey Address: F7E101DB Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwDeleteValueKey Address: F7E101E5 Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwLoadKey Address: F7E101EA Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwOpenProcess Address: F7E101B8 Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwOpenThread Address: F7E101BD Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwReplaceKey Address: F7E101F4 Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwRestoreKey Address: F7E101EF Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwSetValueKey Address: F7E101E0 Driver Base: 0 Driver End: 0 Driver Name: _unknown_ Function Name: ZwTerminateProcess Address: F7E101C7 Driver Base: 0 Driver End: 0 Driver Name: _unknown_ ****************************************************************************************** ****************************************************************************************** No Kernel Hooks found ****************************************************************************************** ****************************************************************************************** Ports: Local Address: JOHNPORN-D4263E:NETBIOS-SSN Remote Address: 0.0.0.0:0 Type: TCP Process: System State: LISTENING Local Address: JOHNPORN-D4263E:5152 Remote Address: LOCALHOST:1061 Type: TCP Process: C:\Programme\Java\jre6\bin\jqs.exe State: CLOSE_WAIT Local Address: JOHNPORN-D4263E:5152 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Programme\Java\jre6\bin\jqs.exe State: LISTENING Local Address: JOHNPORN-D4263E:1052 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Programme\ATI Technologies\ATI.ACE\CLI.exe State: LISTENING Local Address: JOHNPORN-D4263E:1051 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Programme\ATI Technologies\ATI.ACE\CLI.exe State: LISTENING Local Address: JOHNPORN-D4263E:1050 Remote Address: LOCALHOST:1049 Type: TCP Process: [System Idle Process] State: TIME_WAIT Local Address: JOHNPORN-D4263E:1037 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Programme\ATI Technologies\ATI.ACE\CLI.exe State: LISTENING Local Address: JOHNPORN-D4263E:1031 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\WINDOWS\system32\alg.exe State: LISTENING Local Address: JOHNPORN-D4263E:MICROSOFT-DS Remote Address: 0.0.0.0:0 Type: TCP Process: System State: LISTENING Local Address: JOHNPORN-D4263E:EPMAP Remote Address: 0.0.0.0:0 Type: TCP Process: C:\WINDOWS\system32\svchost.exe State: LISTENING Local Address: JOHNPORN-D4263E:1900 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:138 Remote Address: NA Type: UDP Process: System State: NA Local Address: JOHNPORN-D4263E:NETBIOS-NS Remote Address: NA Type: UDP Process: System State: NA Local Address: JOHNPORN-D4263E:123 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:1900 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:1058 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:123 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:4500 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\lsass.exe State: NA Local Address: JOHNPORN-D4263E:1077 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:1076 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:1062 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: JOHNPORN-D4263E:500 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\lsass.exe State: NA Local Address: JOHNPORN-D4263E:MICROSOFT-DS Remote Address: NA Type: UDP Process: System State: NA ****************************************************************************************** ****************************************************************************************** Hidden files/folders: Object: C:\System Volume Information\MountPointManagerRemoteDatabase Status: Access denied Object: C:\System Volume Information\tracking.log Status: Access denied Object: C:\System Volume Information\_restore{2452AAB3-BB3C-42BD-ACA2-4E50E9CEE46F} Status: Access denied |
|
|
|
|
|
|
01.08.2009, 21:39
Ehrenmitglied
Beiträge: 6028 |
#13
Download RootRepeal.zip oder von hier zum Desktop
Entpacke es und klicke RootRepeal.exe und starte das Program Klicke unten auf Report und danach auf Scan Haacke an in Select Scan : * Drivers * Processes * SSDT * Hidden Services Klicke den OK Knopf Schliesse alle andere Programme und benutze dein Rechner nicht waehrend der Scann lauft Klicke OK Nach ablauf Save Report und speichere es auf dem Desktop als RootRepeal.txt Poste nachher das log RootRepeal.txt __________ MfG Argus |
|
|
|
|
|
|
01.08.2009, 22:25
Member
Themenstarter Beiträge: 104 |
#14
ROOTREPEAL
ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2009/08/01 22:23 Program Version: Version 1.3.3.0 Windows Version: Windows XP SP2 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xA872E000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF7D5E000 Size: 8192 File Visible: No Signed: - Status: - Name: PCI_HAL Image Path: \Driver\PCI_HAL Address: 0x00000000 Size: 0 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xA763E000 Size: 49152 File Visible: No Signed: - Status: - SSDT ------------------- #: 041 Function Name: NtCreateKey Status: Hooked by "<unknown>" at address 0xf4c3d556 #: 053 Function Name: NtCreateThread Status: Hooked by "<unknown>" at address 0xf4c3d54c #: 063 Function Name: NtDeleteKey Status: Hooked by "<unknown>" at address 0xf4c3d55b #: 065 Function Name: NtDeleteValueKey Status: Hooked by "<unknown>" at address 0xf4c3d565 #: 098 Function Name: NtLoadKey Status: Hooked by "<unknown>" at address 0xf4c3d56a #: 122 Function Name: NtOpenProcess Status: Hooked by "<unknown>" at address 0xf4c3d538 #: 128 Function Name: NtOpenThread Status: Hooked by "<unknown>" at address 0xf4c3d53d #: 193 Function Name: NtReplaceKey Status: Hooked by "<unknown>" at address 0xf4c3d574 #: 204 Function Name: NtRestoreKey Status: Hooked by "<unknown>" at address 0xf4c3d56f #: 247 Function Name: NtSetValueKey Status: Hooked by "<unknown>" at address 0xf4c3d560 #: 257 Function Name: NtTerminateProcess Status: Hooked by "<unknown>" at address 0xf4c3d547 Hidden Services ------------------- Service Name: lhehtfi Image Path: %SystemRoot%\system32\svchost.exe -k netsvcs ==EOF== |
|
|
|
|
|
|
01.08.2009, 23:01
Ehrenmitglied
Beiträge: 6028 |
#15
CFScript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat KILLALL::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen  Combofix noch mal anwenden Scanne dein Rechner mit den Kaspersky AVP tool http://www.virus-protect.org/artikel/tools/kaspersky.html __________ MfG Argus |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Mein Problem ist folgendes.
Hab Letztes Wochenende meine Festplatte Formatiert und Windows usw neu Installiert.Hab seit dem immer wieder meldungen von Antivir das ich Trojaner und Würmer drauf hab.Marewarebytes findet nix.Und mein Internet geht auch nicht so richtig.Nach einer weile kann ich keine Seiten mehr aufbauen obwohl die Netzwerk verbindung auf Verbunden steht.
Hier mal meine Logs
MALEWAREBYTES
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2536
Windows 5.1.2600 Service Pack 2
31.07.2009 19:53:37
mbam-log-2009-07-31 (19-53-37).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74416
Laufzeit: 6 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:43, on 31.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis\HTJ.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5E6229E-D95B-4E46-A2EF-B9ED59C37A1A}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
--
End of file - 3247 bytes
GMER
GMER 1.0.15.15011 [weobfvk1.exe] - http://www.gmer.net
Rootkit scan 2009-07-31 20:28:22
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT A452F1F6 ZwCreateKey
SSDT A452F1EC ZwCreateThread
SSDT A452F1FB ZwDeleteKey
SSDT A452F205 ZwDeleteValueKey
SSDT A452F20A ZwLoadKey
SSDT A452F1D8 ZwOpenProcess
SSDT A452F1DD ZwOpenThread
SSDT A452F214 ZwReplaceKey
SSDT A452F20F ZwRestoreKey
SSDT A452F200 ZwSetValueKey
SSDT A452F1E7 ZwTerminateProcess
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] lhehtfi <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@DisplayName Windows Monitor
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi@Description Erm?glicht die Fehlerberichterstattung f?r Dienste und Anwendungen, die in nicht standardgem??en Umgebungen ausgef?hrt werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\lhehtfi\Parameters@ServiceDll C:\WINDOWS\system32\xmbfnzfx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@DisplayName Windows Monitor
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi@Description Erm?glicht die Fehlerberichterstattung f?r Dienste und Anwendungen, die in nicht standardgem??en Umgebungen ausgef?hrt werden.
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\lhehtfi\Parameters@ServiceDll C:\WINDOWS\system32\xmbfnzfx.dll
---- EOF - GMER 1.0.15 ----
UNINSTALLLIST
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
ALi USB2.0 Driver
Alice-Installationsdateien entfernen
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
ATI HydraVision
ATI Parental Control & Encoder
Avira AntiVir Personal - Free Antivirus
AVIVO Codecs
BitTorrent 5.0.0
CCleaner (remove only)
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
Dyson v1.20
EVEREST Home Edition v2.20
FaceOnBody
Google Toolbar for Firefox
Hamachi 0.9.9.9
HijackThis 2.0.2
HP Deskjet 3900 series
HP Image Zone Express
HP Imaging Device Functions 5.0
HP Software Update
HP Solution Center & Imaging Support Tools 5.0
ICQ6.5
IrfanView (remove only)
Java(TM) 6 Update 14
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Picture It! Foto 7.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works 2003-Setup-Start
Microsoft Works 7.0
Mozilla Firefox (3.5.1)
New PowerCinema
Pacific Fighters
PowerCinema
PowerDirector Pro
PowerDVD
QuickTime
Realtek AC'97 Audio
Skype 3.0
Skype Plugin Manager
TeamSpeak 2 RC2
Windows Installer 3.1 (KB893803)