Malware Defense

#0
15.01.2010, 02:49
Member

Beiträge: 29
#1 ich hoffe ihr könnt mir helfen hab systemwiederherstellung gemacht seit dem kommt nicht's mehr z.B wie ich hab ein virus und muss mir die software kaufen aber ich bin mir sicher der ist nicht weg könnt ihr mir helfen
Seitenanfang Seitenende
15.01.2010, 08:01
Moderator

Beiträge: 7805
#2 Arbeite bitte einmal das ab
http://board.protecus.de/t38714.htm#333133

und postre danach die Mbam Reporte und die infos 4und 5 aus http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.01.2010, 03:25
Member

Themenstarter

Beiträge: 29
#3 Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3570
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.01.2010 22:06:30
mbam-log-2010-01-15 (22-06-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 108466
Laufzeit: 6 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\H8SRTksprtettfr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRTmljphxhbat.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRTnbodpoixuv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\H8SRTtmnqtltxjk.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Kakashi\Lokale Einstellungen\Temp\cls_pack.exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\Kakashi\Lokale Einstellungen\Temp\Installer.exe (Trojan.Vundo) -> No action taken.
C:\Programme\malware Defense\help.ico (Rogue.MalwareDefense) -> No action taken.
C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> No action taken.
C:\Programme\malware Defense\mdefense.exe (Rogue.MalwareDefense) -> No action taken.
C:\Programme\malware Defense\mdext.dll (Rogue.MalwareDefense) -> No action taken.
C:\Programme\malware Defense\uninstall.exe (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Kakashi\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\Kakashi\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch.lnk (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTvdltfaqbok.dat (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\Kakashi\Lokale Einstellungen\Temp\H8SRT5916.tmp (Rootkit.TDSS) -> No action taken.


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-16 03:10:42
Windows 5.1.2600 Service Pack 3
Running: u6fpolrh.exe; Driver: C:\DOKUME~1\Kakashi\LOKALE~1\Temp\ffwiqaow.sys


---- System - GMER 1.0.15 ----

SSDT F7C7A276 ZwCreateKey
SSDT F7C7A26C ZwCreateThread
SSDT F7C7A27B ZwDeleteKey
SSDT F7C7A285 ZwDeleteValueKey
SSDT spfs.sys ZwEnumerateKey [0xF73F9CA4]
SSDT spfs.sys ZwEnumerateValueKey [0xF73FA032]
SSDT F7C7A28A ZwLoadKey
SSDT spfs.sys ZwOpenKey [0xF73DB0C0]
SSDT F7C7A258 ZwOpenProcess
SSDT F7C7A25D ZwOpenThread
SSDT spfs.sys ZwQueryKey [0xF73FA10A]
SSDT spfs.sys ZwQueryValueKey [0xF73F9F8A]
SSDT F7C7A294 ZwReplaceKey
SSDT F7C7A28F ZwRestoreKey
SSDT F7C7A280 ZwSetValueKey
SSDT F7C7A267 ZwTerminateProcess

INT 0x62 ? 8676EBF8
INT 0x82 ? 8676EBF8
INT 0xB4 ? 863B3F00
INT 0xB4 ? 863B3F00
INT 0xB4 ? 863B3F00
INT 0xB4 ? 863B3F00
INT 0xB4 ? 863B3F00
INT 0xB4 ? 863B3F00

---- Kernel code sections - GMER 1.0.15 ----

? aamol.sys Das System kann die angegebene Datei nicht finden. !
? spfs.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6698360, 0x24BB1D, 0xE8000020]
.text USBPORT.SYS!DllUnload F65638AC 5 Bytes JMP 863B34E0
.text vaxscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F64174D0 48 Bytes [BB, D1, 28, 08, AB, 2B, E1, ...]
? C:\WINDOWS\System32\Drivers\vaxscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73DC042] spfs.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73DC13E] spfs.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73DC0C0] spfs.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73DC800] spfs.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73DC6D6] spfs.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8676D1F8
Device \FileSystem\Fastfat \FatCdrom 863C5500
Device \Driver\NetBT \Device\NetBT_Tcpip_{64356E24-B871-414D-90F6-7E68EFCAFF2E} 8645C500
Device \Driver\PCI_PNP5904 \Device\00000040 spfs.sys
Device \Driver\PCI_PNP5904 \Device\00000040 spfs.sys
Device \Driver\usbuhci \Device\USBPDO-0 8637C500
Device \Driver\usbuhci \Device\USBPDO-1 8637C500
Device \Driver\usbuhci \Device\USBPDO-2 8637C500
Device \Driver\usbuhci \Device\USBPDO-3 8637C500
Device \Driver\usbehci \Device\USBPDO-4 86394500
Device \Driver\usbstor \Device\00000070 8636D500
Device \Driver\Ftdisk \Device\HarddiskVolume1 867DA1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867DA1F8
Device \Driver\Cdrom \Device\CdRom0 863F9500
Device \Driver\Ftdisk \Device\HarddiskVolume3 867DA1F8
Device \Driver\Cdrom \Device\CdRom1 863F9500
Device \Driver\atapi \Device\Ide\IdePort0 [F7354B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7354B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F7354B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7354B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 [F7354B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom2 863F9500
Device \Driver\NetBT \Device\NetBt_Wins_Export 8645C500
Device \Driver\NetBT \Device\NetbiosSmb 8645C500
Device \Driver\usbstor \Device\0000006a 8636D500
Device \Driver\usbuhci \Device\USBFDO-0 8637C500
Device \Driver\usbstor \Device\0000006d 8636D500
Device \Driver\usbuhci \Device\USBFDO-1 8637C500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 863DC500
Device \Driver\usbstor \Device\0000006e 8636D500
Device \Driver\usbuhci \Device\USBFDO-2 8637C500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 863DC500
Device \Driver\usbstor \Device\0000006f 8636D500
Device \Driver\usbuhci \Device\USBFDO-3 8637C500
Device \Driver\usbehci \Device\USBFDO-4 86394500
Device \Driver\Ftdisk \Device\FtControl 867DA1F8
Device \Driver\vaxscsi \Device\Scsi\vaxscsi1 8633E500
Device \Driver\vaxscsi \Device\Scsi\vaxscsi1Port2Path0Target0Lun0 8633E500
Device \FileSystem\Fastfat \Fat 863C5500

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 8632E500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x95 0x6E 0x7D 0x21 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xB7 0x11 0x56 0xD7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x34 0xD2 0xCD 0x1B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x95 0x6E 0x7D 0x21 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xB7 0x11 0x56 0xD7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x34 0xD2 0xCD 0x1B ...

---- EOF - GMER 1.0.15 ----


Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 03:16:57, on 16.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.ro
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ro
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cool-digitv.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.ro
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ro
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.ro
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.ro
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.ro
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.ro
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [iPhone PC Suite] C:\Dokumente und Einstellungen\Kakashi\Desktop\PCSuitev2.2.0.181\iPhone\iPhone PC Suite.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8238 bytes
Seitenanfang Seitenende
16.01.2010, 05:45
Moderator

Beiträge: 7805
#4 Nutze bitte auch einmal Combofix und poste den erstellten Report
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.01.2010, 08:05
Member

Themenstarter

Beiträge: 29
#5 ComboFix 10-01-15.01 - Kakashi 16.01.2010 6:44.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.710 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kakashi\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Im Speicher befindliches AV aktiv.


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\.#
c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\.#\MBX@568@93D080.###
c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\.#\MBX@568@93E890.###
c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\.#\MBX@568@93E940.###
c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\.#\MBX@568@93EBA0.###
c:\windows\system32\AutoRun.inf
c:\windows\system32\Cache

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-16 bis 2010-01-16 ))))))))))))))))))))))))))))))
.

2010-01-16 02:14 . 2010-01-16 02:14 388096 ----a-r- c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-16 02:14 . 2010-01-16 02:14 -------- d-----w- c:\programme\TrendMicro
2010-01-15 20:57 . 2010-01-15 20:57 -------- d-----w- c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\Malwarebytes
2010-01-15 20:57 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-15 20:57 . 2010-01-15 20:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-15 20:57 . 2010-01-15 20:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-15 20:57 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-15 00:13 . 2010-01-15 00:13 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-14 22:19 . 2010-01-14 22:19 -------- d-----w- C:\sh4ldr
2010-01-14 22:19 . 2010-01-14 22:19 -------- d-----w- c:\programme\Enigma Software Group
2010-01-09 23:53 . 2010-01-09 23:53 12862 ----a-r- c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\Microsoft\Installer\{0E2B767B-EA6A-489B-BF83-8083FE1DB661}\_3DDFBC2CECDECFF328EC5D.exe
2010-01-09 23:53 . 2010-01-09 23:53 -------- d-----w- c:\programme\Pcsx2
2010-01-07 19:00 . 2008-05-29 06:03 37176 ----a-w- c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 20:36 . 2009-05-08 11:40 18792 ----a-w- c:\dokumente und einstellungen\Kakashi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-10 09:36 . 2009-06-18 22:58 -------- d-----w- c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\mIRC
2010-01-10 09:22 . 2009-06-18 22:58 -------- d-----w- c:\programme\mIRC
2010-01-08 21:16 . 2009-06-11 00:48 -------- d-----w- c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\dvdcss
2009-12-25 16:59 . 2009-11-01 23:48 -------- d-----w- c:\programme\JDownloader
2009-12-13 12:01 . 2009-12-13 12:01 -------- d-----w- c:\programme\gs
2009-12-13 12:00 . 2009-12-13 12:00 -------- d-----w- c:\programme\Planetwide Games
2009-12-13 11:50 . 2009-12-13 11:50 -------- d-----w- c:\programme\Microsoft
2009-12-09 00:54 . 2009-10-18 14:02 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-29 05:24 . 2002-08-29 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2009-05-08 11:34 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-21 05:38 . 2009-05-08 11:34 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-20 16:20 . 2009-05-08 11:32 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-18 13:28 . 2009-10-18 12:39 8776 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2002-08-28 73728]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2003-06-24 61440]
"type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-05-30 292136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-06 148888]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-18 110592]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 55824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Splinter Cell Pandora Tomorrow\\pandora.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.10.2009 15:02 108289]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [27.07.2009 01:48 24704]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18.06.2009 12:33 721904]
S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [29.06.2009 14:48 18048]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [13.06.2009 07:42 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [13.06.2009 07:42 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [13.06.2009 07:42 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [13.06.2009 07:42 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [13.06.2009 07:42 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [13.06.2009 07:42 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [13.06.2009 07:42 115752]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [22.08.2009 21:19 223128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2010-01-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.cool-digitv.net/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.ro
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Kakashi\Anwendungsdaten\Mozilla\Firefox\Profiles\p2p4f713.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeBridge - (no file)
HKCU-Run-iPhone PC Suite - c:\dokumente und einstellungen\Kakashi\Desktop\PCSuitev2.2.0.181\iPhone\iPhone PC Suite.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
Notify-AtiExtEvent - (no file)
AddRemove-{6B103F43-069C-11D6-9EA2-0050BAE317E1} - c:\programme\Uninstall_PCM.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-16 07:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-16 07:33:57
ComboFix-quarantined-files.txt 2010-01-16 06:33

Vor Suchlauf: 1.517.572.096 Bytes frei
Nach Suchlauf: 5.746.753.536 Bytes frei

- - End Of File - - 0BD946AC78235ED0D92213F7D2F1AAB6
Seitenanfang Seitenende
16.01.2010, 08:24
Moderator

Beiträge: 7805
#6 Nutze bitte Punkt 2 aus http://board.protecus.de/t23188.htm und deinstalliere Combofix via Start ausfuehren und dort bitte
combofix /uninstall
eingeben und enter druecken.
Du solltest regelmaessig dein System von temp Dateien befreien, das geht mit der Datentraegerbereinigung oder z.B. CClaener
http://www.trojaner-board.de/51464-anleitung-CCleaner.html

Schau auch, ob es fuer deinen PC neue Treiber gibt... Ein bischen Rechnerpflege kann nicht schaden...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende