Vundo.gen trojan und andere

#0
23.12.2009, 23:05
Member

Beiträge: 11
#1 Hi! Mir werden häufig Malwarefunde gemeldet,u.a. Vundo-gen,aber auch andere durch Antivir,habe mir jetzt aber auch die mbam-exe von protecus runtergeladen und einen Komplettscan durchgeführt.Ich bitte um eine Beurteilung des Scan-Logs,den ich hier mitsende,würde mich sehr über eine Hilfestellung freuen.Wünsche Eurem Team auf alle Fälle schon mal ein frohes Fest und einen guten Rutsch!Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3418
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

23.12.2009 22:36:22
mbam-log-2009-12-23 (22-36-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 147141
Laufzeit: 38 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{73364d99-1240-4dff-b11a-67e448373048} (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gasfkywtnomabl (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP334\A0070712.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP334\A0070713.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337\A0071852.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337\A0071853.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337\A0071854.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\twain_32\user.ds (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\twain_32\user.ds (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkylkdvbnre.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkyqkcbdwlg.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkyytjpymwy.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mauke\Lokale Einstellungen\Temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
24.12.2009, 11:41
Member

Beiträge: 3716
#2 Du hast da eine sehr ungesund wirkende mischung an trojanern, rootkits und backdoors auf dem system.
Wenn du online banking oder sonst etwas mit geld am pc machst, dann teile deiner bank unbedingt das problem mit!
Weiterhin müssen alle passwörter von einem sauberen system aus geendert werden, und du solltest dann unsere anleitung zum neu aufsetzen abarbeiten.
wenn du das nicht willst, dann
http://board.protecus.de/t23188.htm
gmer, hijackthis, combofix logs posten.
Seitenanfang Seitenende
25.12.2009, 22:26
Member

Themenstarter

Beiträge: 11
#3 Hi! Frohe Weihnachten erst mal und danke für die ersten Hinweise und Empfehlungen für das weitere Vorgehen! Bevor ich neu aufsetze,habe ich mich für euren anderen Tip mit dem abarbeiten der verschiedenen Punkte entschieden.Ich habe hier hjt-logfile,gmer-report,uninstall-list,mbam habe ich schon gesendet .Ich würde mich freuen,wenn ihr wieder eine Beurteilung abgeben köntet.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-25 21:28:26
Windows 5.1.2600 Service Pack 2
Running: fhsm42de.exe; Driver: C:\DOKUME~1\Mauke\LOKALE~1\Temp\fxtdypob.sys


---- System - GMER 1.0.15 ----

SSDT F7AA7536 ZwCreateKey
SSDT F7AA752C ZwCreateThread
SSDT F7AA753B ZwDeleteKey
SSDT F7AA7545 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF7395E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF73961BA]
SSDT F7AA754A ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF73900B0]
SSDT F7AA7518 ZwOpenProcess
SSDT F7AA751D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF7396292]
SSDT sptd.sys ZwQueryValueKey [0xF7396112]
SSDT F7AA7554 ZwReplaceKey
SSDT F7AA754F ZwRestoreKey
SSDT F7AA7540 ZwSetValueKey
SSDT F7AA7527 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? lqjtxp.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F6EF280C 5 Bytes JMP 860DB758

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F73A6886] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F73A6832] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F73C8892] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F73A6886] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7390AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7390C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7390B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7391748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F739161E] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73A5ACA] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863641E8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbohci \Device\USBPDO-0 860D21E8
Device \Driver\usbohci \Device\USBPDO-1 860D21E8
Device \Driver\usbehci \Device\USBPDO-2 8615C1E8
Device \Driver\usbohci \Device\USBPDO-3 860D21E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 863D21E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{0BC84891-F711-4D22-B557-7044AC35852F} 8604E1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 863D21E8
Device \Driver\Cdrom \Device\CdRom0 860E31E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 863651E8
Device \Driver\atapi \Device\Ide\IdePort0 863651E8
Device \Driver\atapi \Device\Ide\IdePort1 863651E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 863651E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8604E1E8
Device \Driver\NetBT \Device\NetbiosSmb 8604E1E8
Device \Driver\usbohci \Device\USBFDO-0 860D21E8
Device \Driver\usbohci \Device\USBFDO-1 860D21E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 85DF71E8
Device \Driver\usbohci \Device\USBFDO-2 860D21E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 85DF71E8
Device \Driver\usbehci \Device\USBFDO-3 8615C1E8
Device \Driver\Ftdisk \Device\FtControl 863D21E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{7AA93E96-5D08-4CA5-8248-2D22CA059EE2} 8604E1E8
Device \FileSystem\Cdfs \Cdfs 861D7458

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

---- EOF - GMER 1.0.15 ----
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 22:00:49, on 25.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lmrfrq9lraq5imlwql3eq3l3.antigravitysite1.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202761217584
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6692 bytes
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
ANIO Service
ANIWZCS2 Service
Avance AC'97 Audio
Avira AntiVir Personal - Free Antivirus
AVS DVD Player version 2.4
Bowling Evolution 1.07
CCleaner (remove only)
Conceptronic 54Mbps Wireless Utility
EVEREST Home Edition v2.20
Gadu-Gadu 7.7
Google Earth
HiJackThis
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB897338)
Hotfix für Windows XP (KB898900)
Hotfix für Windows XP (KB899271)
Hotfix für Windows XP (KB903234)
Hotfix für Windows XP (KB904412)
Hotfix für Windows XP (KB906569)
Hotfix für Windows XP (KB907865)
Hotfix für Windows XP (KB912817)
Hotfix für Windows XP (KB913538)
Hotfix für Windows XP (KB914841)
Hotfix für Windows XP (KB917021)
Hotfix für Windows XP (KB917730)
Hotfix für Windows XP (KB918005)
Hotfix für Windows XP (KB924867)
Hotfix für Windows XP (KB924941)
Hotfix für Windows XP (KB929120)
Hotfix für Windows XP (KB935448)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
hp deskjet 3816 series (nur entfernen)
ICQ Toolbar
ICQ6
IPS
Malwarebytes' Anti-Malware
McDonald's Dragons
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft AutoRoute 2002
Microsoft Encarta Enzyklopädie 2002
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Picture It! Foto 2002
Microsoft Rechner-Plus
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Word 2002
Microsoft Works 2002-Setup-Start
Microsoft Works 6.0
Microsoft Works Suite-Add-Ins für Microsoft Word
Mission Maulwurf
Mozilla Firefox (3.0.16)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 6 Service Pack 2 (KB973686)
Nero
NVIDIA Windows 2000/XP Display Drivers
PasswordTools
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 7 (KB976325)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917537)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958470)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Skype™ 3.8
SMSC IrCC V5.1.3600.2 SP1
Spelling Dictionaries Support For Adobe Reader 8
Synaptics TouchPad
Toggolino - Zahlenabenteuer
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 7 (KB976749)
Update für Windows XP (KB896256)
Update für Windows XP (KB897663)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB907265)
Update für Windows XP (KB908521)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB916846)
Update für Windows XP (KB920342)
Update für Windows XP (KB920872)
Update für Windows XP (KB922120)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB927891)
Update für Windows XP (KB930916)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 2
Windows XP-Hotfix - KB319740
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB884883
Windows XP-Hotfix - KB885222
Windows XP-Hotfix - KB885626
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB885894
Windows XP-Hotfix - KB886677
Windows XP-Hotfix - KB886716
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB889016
Windows XP-Hotfix - KB889673
Windows XP-Hotfix - KB890831
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB896626
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
Seitenanfang Seitenende
25.12.2009, 22:35
Member

Beiträge: 3716
#4 ok, nun bitte combofix. schau in deine pm box, du hast ne nachicht.
Seitenanfang Seitenende
25.12.2009, 23:53
Member

Themenstarter

Beiträge: 11
#5 Hi! So,habe jetzt auch noch Combofix durchlaufen lassen und hier ist die log-Datei,bitte wieder um eine Beurteilung und weiteres Vorgehen,schon mal im Voraus danke!ComboFix 09-12-25.02 - Mauke 25.12.2009 23:36:46.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1021.767 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mauke\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE


((((((((((((((((((((((( Dateien erstellt von 2009-11-25 bis 2009-12-25 ))))))))))))))))))))))))))))))
.

2009-12-25 20:54 . 2009-12-25 20:54 388096 ----a-r- c:\dokumente und einstellungen\Mauke\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-25 20:54 . 2009-12-25 20:54 -------- d-----w- c:\programme\TrendMicro
2009-12-23 20:53 . 2009-12-23 20:53 -------- d-----w- c:\dokumente und einstellungen\Mauke\Anwendungsdaten\Malwarebytes
2009-12-23 20:53 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-23 20:53 . 2009-12-23 20:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-23 20:53 . 2009-12-23 20:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-23 20:53 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-13 00:22 . 2001-08-18 12:00 80306 ----a-w- c:\windows\system32\perfc007.dat
2009-12-13 00:22 . 2001-08-18 12:00 449044 ----a-w- c:\windows\system32\perfh007.dat
2009-12-08 19:06 . 2009-11-01 19:05 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-03 21:32 . 2009-11-03 21:32 -------- d-----w- c:\programme\Avira
2009-11-03 21:32 . 2009-11-03 21:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-29 07:41 . 2001-08-18 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2008-02-11 17:05 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2001-08-18 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-10-27 16:30 . 2008-02-11 17:10 58128 ----a-w- c:\dokumente und einstellungen\Mauke\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-21 06:00 . 2008-02-11 17:05 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-21 06:00 . 2008-02-11 17:05 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-20 14:58 . 2008-02-11 17:05 263552 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:44 . 2001-08-18 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:51 . 2001-08-18 12:00 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:51 . 2001-08-18 12:00 113152 ----a-w- c:\windows\system32\rastls.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2003-02-09 106496]
"SoundMan"="SOUNDMAN.EXE" [2003-02-09 46592]
"nwiz"="nwiz.exe" [2003-02-09 372736]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-02-09 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-02-09 557056]
"Conceptronic Conceptronic 54Mbps Wireless Utility"="c:\programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe" [2006-01-25 950272]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2001-10-09 24576]
"Microsoft Works Portfolio"="c:\programme\Microsoft Works\WksSb.exe" [2001-10-04 331830]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 28738]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-06-06 188416]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-4 24633]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gadu-Gadu\\gg.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.02.2008 20:53 682232]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.11.2009 22:32 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [18.08.2008 23:35 222456]
S1 wyoustjm;wyoustjm;\??\c:\windows\system32\drivers\wyoustjm.sys --> c:\windows\system32\drivers\wyoustjm.sys [?]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://lmrfrq9lraq5imlwql3eq3l3.antigravitysite1.net
FF - ProfilePath - c:\dokumente und einstellungen\Mauke\Anwendungsdaten\Mozilla\Firefox\Profiles\yah37our.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Win32load - c:\dokumente und einstellungen\LocalService\Anwendungsdaten\50deee.exe
HKU-Default-Run-svchost.exe - \svchost.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-25 23:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x863641E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74fcfc3
\Driver\ACPI -> ACPI.sys @ 0xf734ecb8
\Driver\atapi -> 0x863641e8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a009d
ParseProcedure -> ntoskrnl.exe @ 0x8056d56b
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a009d
ParseProcedure -> ntoskrnl.exe @ 0x8056d56b
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3824)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-25 23:45:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-25 22:45

Vor Suchlauf: 6 Verzeichnis(se), 69.424.295.936 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 70.535.651.328 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - AD730AEFDC71BFA3AE434D79D83CFFB8
Seitenanfang Seitenende
26.12.2009, 12:30
Member

Beiträge: 3716
#6 1. möchte ich, dass du alle wichtigen daten sicherst.
2. drweb cureit:
http://board.protecus.de/t29351.htm
nach anleitung ausführen, das einzige was du anders machen sollst, ist die heuristik angeschalten lassen, log posten.
Seitenanfang Seitenende
27.12.2009, 01:05
Member

Themenstarter

Beiträge: 11
#7 Hallo,ich bin es wieder mal! Habe jetzt auch noch Dr.Web CureIt gescannt,er hat 23 Infizierungen gefunden,die aber schon in Quarantäne waren(meiner Meinung nach),weil er von infizierten Dateien im Container und Archiv spricht,aber ich denke ,das ihr das besser beurteilen könnt und dann noch eine Frage zu den infizierten Objekten,die ich nach deiner Anweisung erst mal nur verschoben habe,was soll ich damit machen,löschen oder...??

Hier die log:4b43726f.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b43726f.qua;Trojan.PWS.Panda.122;;
4b43726f.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b43727d.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b43727d.qua;Trojan.DownLoad.35952;;
4b43727d.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b456831.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b456831.qua;Trojan.DownLoad.35952;;
4b456831.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b46684e.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b46684e.qua;Trojan.Packed.166;;
4b46684e.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b46728c.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b46728c.qua;Trojan.Packed.166;;
4b46728c.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b47726c.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b47726c.qua;Trojan.Packed.166;;
4b47726c.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b4c726c.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b4c726c.qua;Trojan.PWS.Tanspy.1272;;
4b4c726c.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b4d7269.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b4d7269.qua;Trojan.Siggen.20133;;
4b4d7269.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b566830.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b566830.qua;Trojan.Siggen.20133;;
4b566830.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b576833.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b576833.qua;Trojan.Packed.166;;
4b576833.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b5a6821.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b5a6821.qua;Trojan.Packed.166;;
4b5a6821.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b797261.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b797261.qua;Trojan.DownLoad.35952;;
4b797261.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b846859.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b846859.qua;Trojan.Packed.166;;
4b846859.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b847296.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b847296.qua;Trojan.PWS.Tanspy.1272;;
4b847296.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b876851.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b876851.qua;Trojan.PWS.Panda.122;;
4b876851.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b88684e.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b88684e.qua;BackDoor.Tdss.based.1;;
4b88684e.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b8972a0.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b8972a0.qua;Trojan.Siggen.20133;;
4b8972a0.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4f84301f.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4f84301f.qua;BackDoor.Tdss.based.1;;
4f84301f.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4f850857.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4f850857.qua;BackDoor.Tdss.based.1;;
4f850857.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\Mauke\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;C:\Dokumente und Einstellungen\Mauke\Desktop;Archiv enthält infizierte Objekte;Verschoben.;
A0071880.exe;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP337;Trojan.DownLoad.35952;Gelöscht.;
A0073179.bat;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP346;Wahrscheinlich BATCH.Virus;;
A0073266.exe\32788R22FWJFW\List-C.bat;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP346\A0073266.exe;Wahrscheinlich BATCH.Virus;;
A0073266.exe;C:\System Volume Information\_restore{89062980-B8DA-48A7-9C97-EF6E8064199B}\RP346;Archiv enthält infizierte Objekte;Verschoben.;
Seitenanfang Seitenende
27.12.2009, 12:32
Member

Beiträge: 3716
#8 hmm der drweb hat nicht das getan, was ich eigendlich wollte.
http://support.kaspersky.com/de/faq/?qid=207620123
versuch mal den tdss killer, berichte obs funktioniert.
Seitenanfang Seitenende
28.12.2009, 17:17
Member

Themenstarter

Beiträge: 11
#9 Hi! Habe auch noch mit TDSS-Killer gescannt,hie die Log.-Datei,warte weiter auf Ratschläge!!15:39:24:928 1176 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
15:39:24:928 1176 ================================================================================
15:39:24:928 1176 SystemInfo:

15:39:24:928 1176 OS Version: 5.1.2600 ServicePack: 2.0
15:39:24:928 1176 Product type: Workstation
15:39:24:928 1176 ComputerName: MD5400
15:39:24:928 1176 UserName: Mauke
15:39:24:928 1176 Windows directory: C:\WINDOWS
15:39:24:928 1176 Processor architecture: Intel x86
15:39:24:928 1176 Number of processors: 1
15:39:24:928 1176 Page size: 0x1000
15:39:24:938 1176 Boot type: Normal boot
15:39:24:938 1176 ================================================================================
15:39:24:938 1176 ForceUnloadDriver: NtUnloadDriver error 2
15:39:24:938 1176 ForceUnloadDriver: NtUnloadDriver error 2
15:39:24:938 1176 ForceUnloadDriver: NtUnloadDriver error 2
15:39:24:938 1176 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
15:39:24:948 1176 main: Driver KLMD successfully dropped
15:39:24:948 1176 main: Driver KLMD successfully loaded
15:39:24:948 1176
Scanning Registry ...
15:39:24:948 1176 ScanServices: Searching service UACd.sys
15:39:24:948 1176 ScanServices: Open/Create key error 2
15:39:24:948 1176 ScanServices: Searching service TDSSserv.sys
15:39:24:948 1176 ScanServices: Open/Create key error 2
15:39:24:948 1176 ScanServices: Searching service gaopdxserv.sys
15:39:24:948 1176 ScanServices: Open/Create key error 2
15:39:24:948 1176 ScanServices: Searching service gxvxcserv.sys
15:39:24:948 1176 ScanServices: Open/Create key error 2
15:39:24:948 1176 ScanServices: Searching service MSIVXserv.sys
15:39:24:948 1176 ScanServices: Open/Create key error 2
15:39:24:948 1176 UnhookRegistry: Kernel module file name: C:\windows\system32\ntoskrnl.exe, base addr: 804D7000
15:39:24:978 1176 UnhookRegistry: Kernel local addr: A40000
15:39:24:978 1176 UnhookRegistry: KeServiceDescriptorTable addr: AC3120
15:39:24:988 1176 UnhookRegistry: KiServiceTable addr: A4B6A8
15:39:24:988 1176 UnhookRegistry: NtEnumerateKey service number (local): 47
15:39:24:988 1176 UnhookRegistry: NtEnumerateKey local addr: AD9D3E
15:39:24:988 1176 KLMD_OpenDevice: Trying to open KLMD device
15:39:24:988 1176 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
15:39:24:988 1176 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
15:39:24:988 1176 KLMD_ReadMem: Trying to ReadMemory 0x804DCC49[0x4]
15:39:24:988 1176 UnhookRegistry: NtEnumerateKey service number (kernel): 47
15:39:24:988 1176 KLMD_ReadMem: Trying to ReadMemory 0x804E27C4[0x4]
15:39:24:988 1176 UnhookRegistry: NtEnumerateKey real addr: 80570D3E
15:39:24:988 1176 UnhookRegistry: NtEnumerateKey calc addr: 80570D3E
15:39:24:988 1176 UnhookRegistry: No SDT hooks found on NtEnumerateKey
15:39:24:988 1176 KLMD_ReadMem: Trying to ReadMemory 0x80570D3E[0xA]
15:39:24:988 1176 UnhookRegistry: No splicing found on NtEnumerateKey
15:39:24:998 1176
Scanning Kernel memory ...
15:39:24:998 1176 KLMD_OpenDevice: Trying to open KLMD device
15:39:24:998 1176 KLMD_GetSystemObjectAddressByNameA: Trying to get system object address by name \Driver\Disk
15:39:24:998 1176 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
15:39:24:998 1176 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 862C2A08
15:39:24:998 1176 DetectCureTDL3: KLMD_GetDeviceObjectList returned 3 DevObjects
15:39:24:998 1176 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 862B5C68
15:39:24:998 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862B5C68
15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0x862B5C68[0x38]
15:39:24:998 1176 DetectCureTDL3: DRIVER_OBJECT addr: 862C2A08
15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0x862C2A08[0xA8]
15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0xE13870A8[0x208]
15:39:24:998 1176 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
15:39:24:998 1176 DetectCureTDL3: IrpHandler (0) addr: F74FEC30
15:39:24:998 1176 DetectCureTDL3: IrpHandler (1) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (2) addr: F74FEC30
15:39:24:998 1176 DetectCureTDL3: IrpHandler (3) addr: F74F8D9B
15:39:24:998 1176 DetectCureTDL3: IrpHandler (4) addr: F74F8D9B
15:39:24:998 1176 DetectCureTDL3: IrpHandler (5) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (6) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (7) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (8) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (9) addr: F74F9366
15:39:24:998 1176 DetectCureTDL3: IrpHandler (10) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (11) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (12) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (13) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (14) addr: F74F944D
15:39:24:998 1176 DetectCureTDL3: IrpHandler (15) addr: F74FCFC3
15:39:24:998 1176 DetectCureTDL3: IrpHandler (16) addr: F74F9366
15:39:24:998 1176 DetectCureTDL3: IrpHandler (17) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (18) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (19) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (20) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (21) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (22) addr: F74FAEF3
15:39:24:998 1176 DetectCureTDL3: IrpHandler (23) addr: F74FFA24
15:39:24:998 1176 DetectCureTDL3: IrpHandler (24) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (25) addr: 804FA88E
15:39:24:998 1176 DetectCureTDL3: IrpHandler (26) addr: 804FA88E
15:39:24:998 1176 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
15:39:24:998 1176 KLMD_ReadMem: DeviceIoControl error 1
15:39:24:998 1176 TDL3_StartIoHookDetect: Unable to get StartIo handler code
15:39:24:998 1176 TDL3_FileDetect: Processing driver: Disk
15:39:24:998 1176 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\disk.sys, C:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
15:39:24:998 1176 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\disk.sys
15:39:24:998 1176 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\disk.sys
15:39:25:008 1176 DetectCureTDL3: 1 Curr stack PDEVICE_OBJECT: 862B6C68
15:39:25:008 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862B6C68
15:39:25:008 1176 KLMD_ReadMem: Trying to ReadMemory 0x862B6C68[0x38]
15:39:25:008 1176 DetectCureTDL3: DRIVER_OBJECT addr: 862C2A08
15:39:25:008 1176 KLMD_ReadMem: Trying to ReadMemory 0x862C2A08[0xA8]
15:39:25:008 1176 KLMD_ReadMem: Trying to ReadMemory 0xE13870A8[0x208]
15:39:25:008 1176 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
15:39:25:008 1176 DetectCureTDL3: IrpHandler (0) addr: F74FEC30
15:39:25:008 1176 DetectCureTDL3: IrpHandler (1) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (2) addr: F74FEC30
15:39:25:008 1176 DetectCureTDL3: IrpHandler (3) addr: F74F8D9B
15:39:25:008 1176 DetectCureTDL3: IrpHandler (4) addr: F74F8D9B
15:39:25:008 1176 DetectCureTDL3: IrpHandler (5) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (6) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (7) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (8) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (9) addr: F74F9366
15:39:25:008 1176 DetectCureTDL3: IrpHandler (10) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (11) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (12) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (13) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (14) addr: F74F944D
15:39:25:008 1176 DetectCureTDL3: IrpHandler (15) addr: F74FCFC3
15:39:25:008 1176 DetectCureTDL3: IrpHandler (16) addr: F74F9366
15:39:25:008 1176 DetectCureTDL3: IrpHandler (17) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (18) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (19) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (20) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (21) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (22) addr: F74FAEF3
15:39:25:008 1176 DetectCureTDL3: IrpHandler (23) addr: F74FFA24
15:39:25:008 1176 DetectCureTDL3: IrpHandler (24) addr: 804FA88E
15:39:25:008 1176 DetectCureTDL3: IrpHandler (25) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (26) addr: 804FA88E
15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
15:39:25:018 1176 KLMD_ReadMem: DeviceIoControl error 1
15:39:25:018 1176 TDL3_StartIoHookDetect: Unable to get StartIo handler code
15:39:25:018 1176 TDL3_FileDetect: Processing driver: Disk
15:39:25:018 1176 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\disk.sys, C:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
15:39:25:018 1176 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\disk.sys
15:39:25:018 1176 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\disk.sys
15:39:25:018 1176 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 862BAAB8
15:39:25:018 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862BAAB8
15:39:25:018 1176 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 862CA158
15:39:25:018 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862CA158
15:39:25:018 1176 DetectCureTDL3: 2 Curr stack PDEVICE_OBJECT: 862C5D98
15:39:25:018 1176 KLMD_GetLowerDeviceObject: Trying to get lower device object for 862C5D98
15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0x862C5D98[0x38]
15:39:25:018 1176 DetectCureTDL3: DRIVER_OBJECT addr: 862CA720
15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0x862CA720[0xA8]
15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0xE1387050[0x208]
15:39:25:018 1176 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi
15:39:25:018 1176 DetectCureTDL3: IrpHandler (0) addr: 863641E8
15:39:25:018 1176 DetectCureTDL3: IrpHandler (1) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (2) addr: 863641E8
15:39:25:018 1176 DetectCureTDL3: IrpHandler (3) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (4) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (5) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (6) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (7) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (8) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (9) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (10) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (11) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (12) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (13) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (14) addr: 863641E8
15:39:25:018 1176 DetectCureTDL3: IrpHandler (15) addr: 863641E8
15:39:25:018 1176 DetectCureTDL3: IrpHandler (16) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (17) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (18) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (19) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (20) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (21) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (22) addr: 863641E8
15:39:25:018 1176 DetectCureTDL3: IrpHandler (23) addr: 863641E8
15:39:25:018 1176 DetectCureTDL3: IrpHandler (24) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (25) addr: 804FA88E
15:39:25:018 1176 DetectCureTDL3: IrpHandler (26) addr: 804FA88E
15:39:25:018 1176 KLMD_ReadMem: Trying to ReadMemory 0xF72E97C6[0x400]
15:39:25:018 1176 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 229, 0
15:39:25:018 1176 TDL3_FileDetect: Processing driver: atapi
15:39:25:018 1176 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\atapi.sys, C:\WINDOWS\system32\Drivers\atapi.tsk, SYSTEM\CurrentControlSet\Services\atapi, system32\Drivers\atapi.tsk
15:39:25:018 1176 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys
15:39:25:018 1176 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\atapi.sys
15:39:25:028 1176
Completed

Results:
15:39:25:028 1176 Infected objects in memory: 0
15:39:25:028 1176 Cured objects in memory: 0
15:39:25:028 1176 Infected objects on disk: 0
15:39:25:028 1176 Objects on disk cured on reboot: 0
15:39:25:028 1176 Objects on disk deleted on reboot: 0
15:39:25:028 1176 Registry nodes deleted on reboot: 0
15:39:25:028 1176
Seitenanfang Seitenende
28.12.2009, 17:27
Member

Beiträge: 3716
Seitenanfang Seitenende
28.12.2009, 20:24
Member

Themenstarter

Beiträge: 11
#11 Hi!Habe mit der mbr.exe gescannt,scheint in Ordnung zu sein,hier die log-datei,habe aber spasshalber auch noch mal mit der mbam(Malwarebytes-antimalware)-exe gescannt,die 1mal fündig wurde(Rootkit.agent),aber wenn man bedenkt,das ich schon mal über 30 Funde hatte ,ist da ja schon nicht schlecht ,bis dannStealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Seitenanfang Seitenende
28.12.2009, 21:14
Member

Beiträge: 3716
#12 sieht gut aus, noch probleme?
Seitenanfang Seitenende
28.12.2009, 21:30
Member

Themenstarter

Beiträge: 11
#13 Probleme eigentlich nicht,aber was mache ich z.B. mit den infizierten Objekten in Quarantäne?? und wenn ich jetzt demnächst noch infizierte Objekte gemeldet bekomme ,wie heute z.B. bei mbam(Rootkit.agent),einfach löschen und gut,ab wann muss ich mir wieder Gedanken machen???
Seitenanfang Seitenende
28.12.2009, 21:51
Member

Beiträge: 3716
#14 wo hat malwarebytes was gemeldet?
start ausführen,
combofix /u
enter
deinstaliert combofix.
http://www.hijackthis-forum.de/tipps-tricks/25986-CCleaner-anleitung.html
CCleaner mit zusätzliche ordner bereinigen lassen
rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung auf allen laufwerken deaktivieren, übernehmen ok
5 min warten, einschalten.
Seitenanfang Seitenende
28.12.2009, 22:04
Member

Themenstarter

Beiträge: 11
#15 Habe heute einen C-Scan mi Malwarebytes gemacht und ist 1-mal füngig geworden(Rootkit.agent),den Scan-Report schickr ich hier mit. combofix konnte ich mit deiner Anleitung nicht deinstallieren,kann ich doch auch über Systemsteuerung oder??und was soll das deaktivieren der Systemsteuerung bewirken nur mal so zur Erklärung?
Seitenanfang Seitenende