Unzählige Trojaner und alles was noch gefährlich ist

#0
22.09.2009, 15:09
Member

Beiträge: 24
#1 Hallo liebes Protecus Volk ;)

1. Problembeschreibung
Mein Pc spielt völlig verrückt, wenn ich internetseiten öffne öffnen sich unzaehlige andere seite und es geschehen merkwürdige dinge ;D

Ich hab dauert die Meldung dass mein PC Infiziert ist, und ich mir n programm kaufen soll, natürlich! ;)
Meine Antiviren programme finden unzaehlige Trojaner, aber naja das bringts ja allein nicht. Ich hoffe ich kann den Rechner mit eurer Hilfe komplett Bereiningen von all dem Mist ohne dass ich formatieren muss!

2. Temporäre Dateien sind Beseitigt.

3.
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2842
Windows 5.1.2600 Service Pack 3

22.09.2009 14:02:18
mbam-log-2009-09-22 (14-02-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 102877
Laufzeit: 3 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7aa32fc7-133b-4ae7-998e-ced0d9829b12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\6to4Alerter (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus Pro 2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Benji-BBB\Lokale Einstellungen\Temp\msupd_2.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Benji-BBB\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Benji-BBB\Lokale Einstellungen\Temp\tmpwr2 (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Benji-BBB\Lokale Einstellungen\Temp\tmpwr3 (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Benji-BBB\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.


4.

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-22 14:59:19
Windows 5.1.2600 Service Pack 3
Running: yo03m5cl.exe; Driver: C:\DOKUME~1\BENJI-~1\LOKALE~1\Temp\afndapoc.sys


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwCreateKey [0xBA6BE0D0]
SSDT BAFC067C ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xBA6C3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xBA6C4340]
SSDT sptd.sys ZwOpenKey [0xBA6BE0B0]
SSDT BAFC0668 ZwOpenProcess
SSDT BAFC066D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xBA6C4418]
SSDT sptd.sys ZwQueryValueKey [0xBA6C4298]
SSDT sptd.sys ZwSetValueKey [0xBA6C44AA]
SSDT BAFC0677 ZwTerminateProcess
SSDT BAFC0672 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

? dpya.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B9F6D8AC 5 Bytes JMP 8A2084B0

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe[180] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 00A41A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe[180] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 00A41A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\RTHDCPL.EXE[216] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\RTHDCPL.EXE[216] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe[244] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe[244] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\etMon.exe[260] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 00BE1A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\etMon.exe[260] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 00BE1A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[280] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[280] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\iTunes\iTunesHelper.exe[304] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 00FB1A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\iTunes\iTunesHelper.exe[304] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 00FB1A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\system32\rundll32.exe[312] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\system32\rundll32.exe[312] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\system32\ctfmon.exe[336] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\system32\ctfmon.exe[336] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe[364] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 00EA1A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe[364] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 00EA1A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\ICQ6.5\ICQ.exe[376] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\Programme\ICQ6.5\ICQ.exe[376] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\Explorer.EXE[1888] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\Explorer.EXE[1888] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\system32\wscntfy.exe[3580] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text C:\WINDOWS\system32\wscntfy.exe[3580] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text D:\yo03m5cl.exe[3660] ADVAPI32.dll!RegDeleteValueA 77DAECE5 6 Bytes PUSH 10001A28; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)
.text D:\yo03m5cl.exe[3660] ADVAPI32.dll!RegDeleteValueW 77DAEDF1 6 Bytes PUSH 10001A51; RET C:\WINDOWS\system32\calc.dll (Application/Microsoft)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6BEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6BEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6BEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6BF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6BF61E] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6D429A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A3961E8
Device \FileSystem\Fastfat \FatCdrom 89A75368
Device \Driver\usbohci \Device\USBPDO-0 8A23C3D0
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A4091E8
Device \Driver\dmio \Device\DmControl\DmConfig 8A4091E8
Device \Driver\dmio \Device\DmControl\DmPnP 8A4091E8
Device \Driver\dmio \Device\DmControl\DmInfo 8A4091E8
Device \Driver\usbehci \Device\USBPDO-1 8A23A1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{7F72006C-C0B3-480D-959D-F112006E9986} 89AEA790
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A3981E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A3981E8
Device \Driver\Cdrom \Device\CdRom0 8A1E6790
Device \Driver\NetBT \Device\NetBt_Wins_Export 89AEA790
Device \Driver\usbstor \Device\00000077 89AAB790
Device \Driver\NetBT \Device\NetbiosSmb 89AEA790
Device \Driver\usbohci \Device\USBFDO-0 8A23C3D0
Device \Driver\usbehci \Device\USBFDO-1 8A23A1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89AC01E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89AC01E8
Device \Driver\usbstor \Device\0000007d 89AAB790
Device \Driver\Ftdisk \Device\FtControl 8A3981E8
Device \FileSystem\Fastfat \Fat 89A75368

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 89A7E790

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\gasfkydlhyprqo.sys (*** hidden *** ) [DISABLED] gasfkyalxjyonl <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl@start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl@imagepath \systemroot\system32\drivers\gasfkydlhyprqo.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main@aid 10056
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main\injector@* gasfkywsp8.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkydlhyprqo.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules@gasfkycmd.dll \systemroot\system32\gasfkyyvxoeibo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules@gasfkylog.dat \systemroot\system32\gasfkydjkwnvmu.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules@gasfkywsp.dll \systemroot\system32\gasfkybrvmlstx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules@gasfky.dat \systemroot\system32\gasfkytegpxbwq.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkyalxjyonl\modules@gasfkywsp8.dll \systemroot\system32\gasfkybrtqjytn.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF0 0x6D 0x0E 0xC5 ...
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl@start 4
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl@imagepath \systemroot\system32\drivers\gasfkydlhyprqo.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main@aid 10056
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main@sid 0
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main\injector@* gasfkywsp8.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkydlhyprqo.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules@gasfkycmd.dll \systemroot\system32\gasfkyyvxoeibo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules@gasfkylog.dat \systemroot\system32\gasfkydjkwnvmu.dat
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules@gasfkywsp.dll \systemroot\system32\gasfkybrvmlstx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules@gasfky.dat \systemroot\system32\gasfkytegpxbwq.dat
Reg HKLM\SYSTEM\ControlSet002\Services\gasfkyalxjyonl\modules@gasfkywsp8.dll \systemroot\system32\gasfkybrtqjytn.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF0 0x6D 0x0E 0xC5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF0 0x6D 0x0E 0xC5 ...

---- EOF - GMER 1.0.15 ----

5.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:03, on 22.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\etMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOKUME~1\BENJI-~1\protect.dll,_IWMPEvents@0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: scandisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: scandisk.dll (User 'Default user')
O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')
O4 - Startup: scandisk.dll
O4 - Startup: scandisk.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1224510055
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188400816062
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188400803015
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1203801220
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8066 bytes

6.


4Musics OGG to MP3 Converter 4.4
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.0 - Deutsch
Adobe Shockwave Player
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Bonjour
Choice Guard
CloneCD
CloneDVD2
Compatibility Pack for the 2007 Office system
Die Sims Das volle Leben
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
DVD Shrink 3.1.7
DVDFab (Platinum/Gold/HD Decrypter) (Option: Mobile) 5.2.3.2
DVDFab Platinum 4.0.1.2
Free FLV Converter V 6.4.1
Free YouTube Download 1.3
Free YouTube to iPod Converter version 3.1
Free YouTube to Mp3 Converter version 2.4
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
ICQ6.5
IrfanView (remove only)
iTunes
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
K-Lite Codec Pack 4.1.7 (Full)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Standard
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Mozilla Firefox (3.0.14)
MSVC80_x86
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Suite
neroxml
Nokia Connectivity Cable Driver
Nokia Lifeblog 2.1
Nokia MTP driver
Nokia N73 highlights
Nokia Nseries Skin for Microsoft Windows Media Player
Nokia PC Suite
Nokia PC Suite
Nokia Software Updater
Nokia themes for your device
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
PartyPoker
PC Connectivity Solution
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Segoe UI
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
TeamSpeak 2 RC2
Uninstall 1.0.0.0
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 8 (KB971930)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB961503)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB973815)
USB 2.0 WebCam Driver
VC80CRTRedist - 8.0.50727.762
VCRedistSetup
VideoLAN VLC media player 0.8.6d
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia Modem (06/01/2009 4.1)
Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.3)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
WinRAR

Danke schonmal!
Seitenanfang Seitenende
22.09.2009, 15:41
Member

Beiträge: 3716
#2 Hallo,
1. wenn du onlinebanking oder sonstige geschäfte betreibst, teile unbedingt deiner Bank dein Problem mit, deine Daten und pws sind als geklaut anzusehen. Wenn du onlinebanking etc betreibst, müssen alle Zugangsdaten von einem sauberen System aus geendert werden, und du solltest dir dringenst überlegen, dass System neu aufzusetzen. Wenn du weiter machen möchtest, führe als nächstes combofix.exe aus, benenne es vor dem downloaden um in protecus.exe damit die Reinigung besser funktioniert, poste das Log. melde dich auch, wenn du formatierst!
Seitenanfang Seitenende
22.09.2009, 17:11
Member

Themenstarter

Beiträge: 24
#3 Habe so eben alle meine Zugangsdaten geändert. Online Banking als erstes über ein sichers system!

Combofix bzw Protecus.exe durchlaufen lassen:

ComboFix 09-09-21.04 - Benji-BBB 22.09.2009 17:00.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1791.1159 [GMT 2:00]
ausgeführt von:: G:\Protecus.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - system32: deleted 40 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Benji-BBB\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Benji-BBB\protect.dll
c:\dokumente und einstellungen\LocalService\protect.dll
c:\dokumente und einstellungen\NetworkService\protect.dll
c:\windows\Alcmtr.exe
c:\windows\system32\config\systemprofile\protect.dll
c:\windows\system32\drivers\gasfkydlhyprqo.sys
c:\windows\system32\gasfkybrtqjytn.dll
c:\windows\system32\gasfkybrvmlstx.dll
c:\windows\system32\gasfkydjkwnvmu.dat
c:\windows\system32\gasfkytegpxbwq.dat
c:\windows\system32\gasfkyyvxoeibo.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gasfkyalxjyonl
-------\Legacy_IPRIP
-------\Service_gasfkyalxjyonl
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2009-08-22 bis 2009-09-22 ))))))))))))))))))))))))))))))
.

2009-09-22 12:59 . 2009-09-22 12:59 -------- d-----w- c:\programme\Trend Micro
2009-09-22 11:56 . 2009-09-22 11:56 -------- d-----w- c:\dokumente und einstellungen\Benji-BBB\Anwendungsdaten\Malwarebytes
2009-09-22 11:56 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-22 11:55 . 2009-09-22 11:56 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-22 11:55 . 2009-09-22 11:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-22 11:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-21 16:18 . 2001-08-23 12:00 4224 -c--a-w- c:\windows\system32\dllcache\beep.sys
2009-09-21 16:18 . 2001-08-23 12:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys
2009-09-21 15:08 . 2009-09-21 15:08 22528 --sha-w- c:\windows\system32\calc.dll
2009-09-19 17:36 . 2009-09-19 17:36 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-09-11 17:08 . 2009-09-11 17:08 24744 ------w- c:\windows\system32\drivers\ElbyCDIO.sys
2009-09-09 17:58 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-01 10:09 . 2009-09-01 10:09 -------- d-----w- c:\programme\iPod
2009-09-01 10:09 . 2009-09-01 10:10 -------- d-----w- c:\programme\iTunes
2009-09-01 10:09 . 2009-09-01 10:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-09-01 10:09 . 2009-09-01 10:09 -------- d-----w- c:\programme\Bonjour

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-22 15:06 . 2009-09-22 15:06 22528 --sha-w- c:\dokumente und einstellungen\Benji-BBB\protect.dll
2009-09-21 16:11 . 2007-08-29 17:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-09-09 19:27 . 2007-08-29 16:12 26184 ----a-w- c:\dokumente und einstellungen\Benji-BBB\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-02 09:43 . 2008-07-30 11:10 -------- d-----w- c:\programme\Apple Software Update
2009-09-01 10:09 . 2008-01-11 16:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-09-01 10:08 . 2008-07-30 11:10 -------- d-----w- c:\programme\QuickTime
2009-08-17 18:02 . 2009-08-17 18:02 -------- d-----w- c:\programme\Windows Journal Viewer
2009-08-15 22:44 . 2001-08-23 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-08-15 22:44 . 2001-08-23 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-08-15 22:41 . 2009-08-15 22:41 -------- d-----w- c:\programme\MSBuild
2009-08-15 22:41 . 2009-08-15 22:41 -------- d-----w- c:\programme\Reference Assemblies
2009-08-06 18:38 . 2007-09-04 07:59 -------- d-----w- c:\dokumente und einstellungen\Benji-BBB\Anwendungsdaten\Nokia
2009-08-06 18:37 . 2007-09-03 15:20 -------- d-----w- c:\dokumente und einstellungen\Benji-BBB\Anwendungsdaten\PC Suite
2009-08-06 18:36 . 2009-08-06 18:36 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-08-06 18:36 . 2009-08-06 18:36 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-08-06 18:29 . 2009-08-06 18:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PCSuite
2009-08-06 18:29 . 2007-09-03 15:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2009-08-06 18:29 . 2007-09-03 15:20 -------- d-----w- c:\programme\Nokia
2009-08-06 18:29 . 2009-08-06 18:29 -------- d-----w- c:\programme\DIFX
2009-08-06 18:28 . 2009-08-06 18:28 -------- d-----w- c:\programme\PC Connectivity Solution
2009-08-06 18:27 . 2007-11-21 17:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-08-06 18:25 . 2007-09-03 15:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2009-08-05 08:59 . 2001-08-23 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 2001-08-23 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-10 22:45 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2001-08-23 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-27 11:15 . 2009-06-27 11:15 152576 ----a-w- c:\dokumente und einstellungen\Benji-BBB\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-25 08:25 . 2001-08-23 12:00 737792 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2001-08-23 12:00 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2001-08-23 12:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2001-08-23 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-25 08:25 . 2001-08-23 12:00 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2001-08-23 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2007-08-31 10:48 . 2007-08-31 10:25 72 --sh--w- c:\windows\S32DE62E1.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"calc"="c:\dokume~1\BENJI-~1\protect.dll" [2009-09-22 22528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-31 7634944]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-31 86016]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"etMonitor"="c:\windows\etMon.exe" [2007-02-14 102400]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-06-18 198160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"calc"="c:\windows\system32\calc.dll" [2009-09-21 22528]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-31 1622016]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-08-01 16049664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Benji-BBB\Startmen\Programme\Autostart\
scandisk.dll [2009-9-21 22528]
scandisk.lnk - c:\windows\system32\rundll32.exe [2001-8-23 33792]

c:\dokumente und einstellungen\Benji-BBB\Startmen\Programme\Autostart\
scandisk.dll [2009-9-21 22528]
scandisk.lnk - c:\windows\system32\rundll32.exe [2001-8-23 33792]

c:\dokumente und einstellungen\Benji-BBB\Startmen\Programme\Autostart\
scandisk.dll [2009-9-21 22528]
scandisk.lnk - c:\windows\system32\rundll32.exe [2001-8-23 33792]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

c:\dokumente und einstellungen\Benji-BBB\Startmen\Programme\Autostart\
scandisk.dll [2009-9-21 22528]
scandisk.lnk - c:\windows\system32\rundll32.exe [2001-8-23 33792]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Source\\SteamApps\\benji_bbb\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 DCamUSBET;USB 2.0 WebCam;c:\windows\system32\drivers\etDevice.sys [09.02.2009 21:01 475392]
R3 FiltUSBET;ET USB Device Lower Filter;c:\windows\system32\drivers\etFilter.sys [09.02.2009 21:01 200832]
R3 ScanUSBET;ET USB Still Image Capture Device;c:\windows\system32\drivers\etScan.sys [09.02.2009 21:01 6656]
S2 efksylhueorngga;efksylhueorngga;\??\c:\windows\system32\drivers\homyiazoljrlewp.sys --> c:\windows\system32\drivers\homyiazoljrlewp.sys [?]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [23.09.2008 22:21 16512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Benji-BBB\Anwendungsdaten\Mozilla\Firefox\Profiles\smqkqj3r.default\
FF - component: c:\programme\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
FF - component: c:\programme\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Steam - (no file)
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKU-Default-Run-calc - c:\dokume~1\LOCALS~1\protect.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-22 17:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2024)
c:\windows\system32\calc.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\windows\system32\tcpsvcs.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-22 17:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-22 15:09

Vor Suchlauf: 1.892.814.848 Bytes frei
Nach Suchlauf: 3.991.638.016 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

226 --- E O F --- 2009-09-09 21:24
Seitenanfang Seitenende
22.09.2009, 17:22
Member

Beiträge: 3716
#4 Führe sdfix im abgesicherten Modus aus, ist Punkt 1 der Anleitung, poste das Log.
http://virus-protect.org/artikel/tools/sdfix.html
Seitenanfang Seitenende
22.09.2009, 18:07
Member

Themenstarter

Beiträge: 24
#5 done!


SDFix: Version 1.240
Run by Benji-BBB on 22.09.2009 at 17:56

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Benji-BBB\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\keymaker.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-22 18:02:02
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:f0,6d,0e,c5,a3,42,4f,02,d0,72,13,29,a8,0e,cd,04,50,09,00,71,24,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:f0,6d,0e,c5,a3,42,4f,02,d0,72,13,29,a8,0e,cd,04,50,09,00,71,24,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:f0,6d,0e,c5,a3,42,4f,02,d0,72,13,29,a8,0e,cd,04,50,09,00,71,24,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"E:\\Source\\SteamApps\\benji_bbb\\counter-strike source\\hl2.exe"="E:\\Source\\SteamApps\\benji_bbb\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"="C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe:*:Enabled:Nokia Software Updater"
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"="C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process "
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"="C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :


File Backups: - C:\DOKUME~1\BENJI-~1\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 31 Aug 2007 72 ..SH. --- "C:\WINDOWS\S32DE62E1.tmp"
Tue 22 Sep 2009 22,528 A.SH. --- "C:\Dokumente und Einstellungen\Benji-BBB\protect.dll"
Tue 22 Sep 2009 0 A.SH. --- "C:\Dokumente und Einstellungen\NetworkService\protect.dll"
Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Mon 21 Sep 2009 22,528 A.SH. --- "C:\WINDOWS\system32\calc.dll"
Sat 23 Feb 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 1 Nov 2007 15,872 A.SH. --- "C:\Programme\4Musics OGG to MP3 Converter\wdmdrvmgr\amd64\wdmdrvmgr.exe"
Thu 1 Nov 2007 9,216 A.SH. --- "C:\Programme\4Musics OGG to MP3 Converter\wdmdrvmgr\i386\wdmdrvmgr.exe"
Mon 21 Sep 2009 22,528 A.SH. --- "C:\Dokumente und Einstellungen\Benji-BBB\Startmen\Programme\Autostart\scandisk.dll"
Mon 21 Sep 2009 22,528 A.SH. --- "C:\WINDOWS\system32\config\systemprofile\Startmen\Programme\Autostart\scandisk.dll"

Finished!
Seitenanfang Seitenende
22.09.2009, 19:05
Member

Beiträge: 3716
#6 http://www.raymond.cc/blog/archives/2009/08/31/integrate-multiple-antivirus-rescue-disk-into-one-single-disc-or-usb-flash-drive-with-sardu/
schau mal ob du damit klar kommst.
du sollst nur den Teil antivirus abarbeiten, die restlichen Programme nicht Downloaden. die Antivirenprogramme sind auf deutsch! Starte den Laptop von cd. er muss diesmal mit dem Internet verbunden werden. Führe dann nach und nach die Programme aus, update sie, scanne, Funde Umbenennen. Entweder das Log speichern, oder die Dateinamen und die Funde aufschreiben. Stell sie dann ins forum.
Seitenanfang Seitenende
22.09.2009, 22:34
Member

Themenstarter

Beiträge: 24
#7 Hab so eben Gdata durhclaufen alssen von cd und abgeschlossen. 1 fund, die jpg datei gleich gelöscht. PC sieht bisjetzt unverdächtig aus BIS auf eine sache!
Wenn ich damit im internet surfe, werd ich ganz oft auf irgendwelche schopping seiten weitergeleitet! das muss dringend weg :/
Seitenanfang Seitenende
23.09.2009, 10:03
Member

Beiträge: 3716
#8 wir sind noch nciht fertig. mach weiter mit Kaspersky. versuche erst zu updaten, dann scanne.
Seitenanfang Seitenende
23.09.2009, 14:10
Member

Beiträge: 3716
#9 Hallo, bringe den PC ans internet.
besuche:
www.virustotal.com
kopiere nacheinander folgende dateien in das feld.
C:\Dokumente und Einstellungen\Benji-BBB\protect.dll
C:\Dokumente und Einstellungen\NetworkService\protect.dll
C:\WINDOWS\system32\calc.dll
also jede Datei einzeln, dann absenden Klicken, falls die Dateien bereits analysiert wurden, klicke erneut prüfen, poste das Log.
Seitenanfang Seitenende
24.09.2009, 14:18
Member

Themenstarter

Beiträge: 24
#10 Also ich habe nurn noch die calc.dll drauf die ich analysieren konnte.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.22 Trojan.Win32.Opachki!IK
AhnLab-V3 5.0.0.2 2009.09.22 -
AntiVir 7.9.1.23 2009.09.22 HEUR/Crypted
Antiy-AVL 2.0.3.7 2009.09.22 -
Authentium 5.1.2.4 2009.09.21 -
Avast 4.8.1351.0 2009.09.21 -
AVG 8.5.0.412 2009.09.22 -
BitDefender 7.2 2009.09.22 -
CAT-QuickHeal 10.00 2009.09.22 -
ClamAV 0.94.1 2009.09.22 -
Comodo 2402 2009.09.22 -
DrWeb 5.0.0.12182 2009.09.22 -
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6753 2009.09.22 -
F-Prot 4.5.1.85 2009.09.21 -
F-Secure 8.0.14470.0 2009.09.22 -
Fortinet 3.120.0.0 2009.09.22 PossibleThreat
GData 19 2009.09.22 -
Ikarus T3.1.1.72.0 2009.09.22 Trojan.Win32.Opachki
Jiangmin 11.0.800 2009.09.22 -
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.22 -
McAfee 5748 2009.09.21 -
McAfee+Artemis 5748 2009.09.21 Artemis!962C44C87095
McAfee-GW-Edition 6.8.5 2009.09.22 Heuristic.Crypted
Microsoft 1.5005 2009.09.22 Trojan:Win32/Opachki.A
NOD32 4446 2009.09.22 -
Norman 6.01.09 2009.09.21 -
nProtect 2009.1.8.0 2009.09.22 -
Panda 10.0.2.2 2009.09.22 Suspicious file
PCTools 4.4.2.0 2009.09.22 -
Prevx 3.0 2009.09.22 Medium Risk Malware
Rising 21.48.13.00 2009.09.22 -
Sophos 4.45.0 2009.09.22 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.09.22 -
Symantec 1.4.4.12 2009.09.22 -
TheHacker 6.5.0.2.014 2009.09.21 -
TrendMicro 8.950.0.1094 2009.09.22 -
VBA32 3.12.10.10 2009.09.21 -
ViRobot 2009.9.22.1948 2009.09.22 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 22528 bytes
MD5 : 962c44c87095df4021f042709215b59e
SHA1 : 3ead408d6dfdba9c7e5e815a2f0329588061da2b
SHA256: 9558d202cbb6b35d66cae68e4c4e2e0f3755daf11de92476acc6d9c99c361395
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x395B
timedatestamp.....: 0x4AB7727D (Mon Sep 21 14:33:01 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3195 0x3200 6.37 b03ee561f9e0647a137e8c81113c34ec
.rdata 0x5000 0x14FA 0x1600 6.76 d2247fbc520a26f17e90151cc03da9b6
.data 0x7000 0x3E8 0x200 2.58 6a0c7c8f34b15d1f795029689056e4d5
.rsrc 0x8000 0x370 0x400 2.81 f972f860ad169139e5f0c61170100c8f
.reloc 0x9000 0x5BA 0x600 6.13 089cde5647aefdbe54bf094ead38e1f2

( 6 imports )

> advapi32.dll: RegCloseKey, RegCreateKeyExA, RegSetValueExA
> kernel32.dll: GetProcAddress, MultiByteToWideChar, GetFileAttributesA, GetCurrentProcessId, CreateFileA, ExpandEnvironmentStringsA, CreateThread, LoadLibraryA, GetModuleHandleA, GetShortPathNameA, VirtualAllocEx, Sleep, GetSystemTime, CloseHandle, ReadFile, GetFileSize, WriteFile, SetFilePointer, GetTempFileNameA, GetTickCount, GetTempPathA, ReadProcessMemory, VirtualFreeEx, GetModuleFileNameA, WriteProcessMemory
> msvcrt.dll: free, _adjust_fdiv, _initterm, _onexit, __dllonexit, __1type_info@@UAE@XZ, fopen, fwrite, fclose, memset, strcpy, wcscmp, strcmp, strstr, malloc, memmove, realloc, strlen, __2@YAPAXI@Z, __3@YAXPAX@Z
> ole32.dll: CoInitialize, CoCreateInstance
> shell32.dll: SHGetSpecialFolderLocation, SHGetMalloc, SHGetPathFromIDListA
> user32.dll: CallNextHookEx, DispatchMessageA, MessageBoxA, TranslateMessage, GetMessageA, SetWindowsHookExA

( 1 exports )

> _CreateDva@@YGHXZ, _GetImagesFrom@@YGHPAXH@Z, _GetModuleMemopry@@YGHXZ, _LoadFileFrom@@YGHXZ, _LoadIcons@@YGHPAXH@Z, _IWMPEvents@0
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 384:xBn3NFaJpSci3zJGSO3kT2oJXOOO/s1QD86Xo/JLIm4FI9B6D8WQQWSYLz:Tn7ii3zJGSL2iXRb884oxMZFO6DGAYLz
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=FEFD92D200D7E13458C50067F740620075E524F1
PEiD : -
packers (F-Prot): embedded
RDS : NSRL Reference Data Set
-
Seitenanfang Seitenende
24.09.2009, 14:34
Member

Beiträge: 3716
#11 hast du den kaspersky auch von cd laufen lassen?
Seitenanfang Seitenende
24.09.2009, 15:11
Member

Themenstarter

Beiträge: 24
#12 Ja,

Virensuche: abgeschlossen 23.09.09 15:01 (Ereignis: 22, Objekte: 70329, Zeit: 00:58:12)
23.09.09 14:03 Aufgabe wurde gestartet
23.09.09 14:06 Gefunden: Trojan-Downloader.Win32.FraudLoad.wskr /discs/C:/Dokumente und Einstellungen/Benji-BBB/Lokale Einstellungen/Anwendungsdaten/Mozilla/Firefox/Profiles/smqkqj3r.default/Cache/61A84665d01
23.09.09 14:23 Gelöscht: Trojan-Downloader.Win32.FraudLoad.wskr /discs/C:/Dokumente und Einstellungen/Benji-BBB/Lokale Einstellungen/Anwendungsdaten/Mozilla/Firefox/Profiles/smqkqj3r.default/Cache/61A84665d01
23.09.09 14:30 Gefunden: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/gasfkybrtqjytn.dll.vir
23.09.09 14:30 Gefunden: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/gasfkybrvmlstx.dll.vir
23.09.09 14:30 Gefunden: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/gasfkyyvxoeibo.dll.vir
23.09.09 14:32 Gelöscht: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/gasfkybrvmlstx.dll.vir
23.09.09 14:32 Gefunden: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/drivers/gasfkydlhyprqo.sys.vir
23.09.09 14:32 Gelöscht: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/gasfkybrtqjytn.dll.vir
23.09.09 14:32 Gelöscht: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/gasfkyyvxoeibo.dll.vir
23.09.09 14:32 Gelöscht: Packed.Win32.TDSS.z /discs/C:/Qoobox/Quarantine/C/WINDOWS/system32/drivers/gasfkydlhyprqo.sys.vir
23.09.09 14:33 Gefunden: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058093.sys
23.09.09 14:33 Gefunden: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058094.dll
23.09.09 14:33 Gefunden: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058095.dll
23.09.09 14:33 Gelöscht: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058093.sys
23.09.09 14:33 Gefunden: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058096.dll
23.09.09 14:33 Gelöscht: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058094.dll
23.09.09 14:33 Gelöscht: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058095.dll
23.09.09 14:33 Gelöscht: Packed.Win32.TDSS.z /discs/C:/System Volume Information/_restore{1A6E6519-D668-4966-8EDD-2A25C967E26C}/RP610/A0058096.dll
23.09.09 14:40 Gefunden: Trojan-Downloader.Win32.FraudLoad.fpd /discs/C:/WINDOWS/system32/config/systemprofile/Lokale Einstellungen/Temporary Internet Files/Content.IE5/EC769ID8/Install[1].exe
23.09.09 14:40 Gelöscht: Trojan-Downloader.Win32.FraudLoad.fpd /discs/C:/WINDOWS/system32/config/systemprofile/Lokale Einstellungen/Temporary Internet Files/Content.IE5/EC769ID8/Install[1].exe
23.09.09 15:01 Aufgabe wurde abgeschlossen
Seitenanfang Seitenende
24.09.2009, 15:15
Member

Beiträge: 3716
#13 sieht immer noch nicht besser aus.
rechtsklick auf Arbeitsplatz, eigenschaften, systemwiderherstellung. wähle auf allen laufwerken deaktivieren, warte 5 minuten schalte sie wieder ein. nun bitte noch avira und drweb per cd ausführen, updaten falls möglich, funde löschen und log posten, wenns nicht geht, die funde aufschreiben.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: