Home » Viren, Trojaner & Malware Forum » Generic Trojan + Trj/CI.A und eventuell Rootkit,wie entfernen+säubern? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4 Letzte Seite

Antworten

Generic Trojan + Trj/CI.A und eventuell Rootkit,wie entfernen+säubern?

23.05.2010, 19:34

Robi

Member

Beiträge: 56

#1 Hallo,
habe seit einem Pishingversuch meinen kompletten PC durchgecheckt und siehe da,es fanden sich diverse Infizierungen.Einige Scanner froren beim Scan ein(AVIRA/AVAST/ADAWARE) ein..Mittlerweile konnte ich durch Entfernung einiger Viren die o.g. Programme wieder zum laufen bringen.Nachdem ich abschliessend mit Panda Active Scan 2.0 gescannt habe,wurden wieder zwei Sachen gefunden.Auch als ich die Liste vom Board abgearbeitet hab,bekam ich die Information von GMER das ein Rootkit installiert sei.Ich bitte um Hilfe,die restlichen Sachen zu beseitigen und nachzuforschen,ob dann alles soweit virenfrei ist.
Für jede Antwort danke ich schonmal im vorraus.

Hier die erforderlichen LOG's:

mbam-log-2010-05-22 (23-43-54)
-----------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4131

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.05.2010 23:43:54
mbam-log-2010-05-22 (23-43-54).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138108
Laufzeit: 5 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------------------------------------------------------

GMER 1.0.15.15281
----------------------------

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-23 09:24:28
Windows 5.1.2600 Service Pack 3
Running: s5b3wx4l.exe; Driver: C:\DOKUME~1\''SERA~1\LOKALE~1\Temp\fgtdipow.sys

---- System - GMER 1.0.15 ----

GMER has found system modification,
which might have been caused by ROOTKIT activity

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-23 18:06:22
Windows 5.1.2600 Service Pack 3
Running: s5b3wx4l.exe; Driver: C:\DOKUME~1\''SERA~1\LOKALE~1\Temp\fgtdipow.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwClose [0xF3F47C7A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwCreateKey [0xF3F47B36]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwDeleteKey [0xF3F480EA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwDeleteValueKey [0xF3F48014]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwDuplicateObject [0xF3F4770C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwOpenKey [0xF3F47C10]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwOpenProcess [0xF3F4764C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwOpenThread [0xF3F476B0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwQueryValueKey [0xF3F47D30]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwRenameKey [0xF3F481B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwRestoreKey [0xF3F47CF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwSetValueKey [0xF3F47E70]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwCreateProcessEx [0xF3F54AC6]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwCreateSection [0xF3F548EA]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ZwLoadDriver [0xF3F54A24]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text TUKERNEL.EXE!ZwYieldExecution + 172 804E49AC 4 Bytes JMP F5F3F480
.sfrelocÿÿÿÿsfsync04unknown last section [0xF7741000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys
unknown last section [0xF7741000, 0xBC6, 0x40000040]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6ACD360, 0x32E00D, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xBA926300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7B33300, 0x1B7E, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[628] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]00380002
IAT C:\WINDOWS\system32\services.exe[628] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation)
Device sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort1 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort2 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000092 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000095 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbstor \Device\00000096 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbstor \Device\00000097 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\DRIVERS\vdrv9000.sys (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ServiceBinary C:\WINDOWS\system32\drivers\VDRV9000.SYS
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Group SCSI Miniport
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ImagePath system32\DRIVERS\vdrv9000.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000@Tag 65
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@Count 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@NextInstance 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\Enum@0 Root\SCSIADAPTER\0001
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters\pnpinterface
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\security
Reg HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000\security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x01 0x38 0x3E 0xBC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7E 0x7A 0x31 0x1A ...
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@ServiceBinary C:\WINDOWS\system32\drivers\VDRV8000.SYS
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Group SCSI Miniport
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@ImagePath system32\DRIVERS\vdrv8000.sys
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Start 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Tag 34
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@Count 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@NextInstance 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@0 Root\SCSIADAPTER\0000
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\parameters\pnpinterface (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y! 71230
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9E710852-0A0E-2ED8-644E-5FD653D19235}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
{9E710852-0A0E-2ED8-644E-5FD653D19235}@abpolomkhjpclcehaikamjnbcffmaekjjp 0x61 0x61 0x00 0x00
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
{9E710852-0A0E-2ED8-644E-5FD653D19235}@bbpolomkhjpclcehaidclhabgicmfpefogmh 0x61 0x61 0x00 0x00

---- EOF - GMER 1.0.15 ----

--->GMER fror mehrmals beim Scannversuch ein,habe es so lange versucht,bis der Scan komplett war,nach erfolgreichem Scan reagierte der PC sehr langsam bis überhaupt nicht mehr!!!(Hatte mein Antivirusropgramm[AVAST]vorher ausgestellt um gegenseitiges ausbremsen zu verhindern)

Hijackthis Log
--------------------

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:26:28, on 23.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Nero\Nero 7\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\''SeRa-SuN''\Desktop\Jacke\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.15\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC267DC5-F8D1-447B-A3C4-677725C11E32}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\vc9secs.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6730 bytes
-------------------------------------------------------------

uninstall list
----------------
Adobe Download Manager
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.2.2 - Deutsch
Adobe Shockwave Player
AGEIA PhysX v6.10.25
Anno 1701
AnyDVD
Assassin's Creed
avast! Free Antivirus
AviSynth 2.5
Baphomets Fluch - Der Engel des Todes
CloneCD
CloneDVD2
Combined Community Codec Pack 2009-09-09
Cool Edit Pro 2.0
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
EAX Unified
EAX4 Unified Redist
EVEREST Ultimate Edition v4.60
Google Earth
Google Toolbar for Firefox
Gothic III
Hama Webcam AC-150
Hama Webcam Suite
High Definition Audio Driver Package - KB888111
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 10 (KB903157)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
HP Imaging Device Functions 7.0
HP Photosmart Essential
HP Photosmart, Officejet and Deskjet 7.0.A
HP Solution Center 7.0
HP Update
ICQ6.5
J2SE Runtime Environment 5.0 Update 13
Java(TM) 6 Update 20
JDownloader
Junk Mail filter update
KinderGarten
Malwarebytes' Anti-Malware
Matroska Pack - Lazy Man's MKV 0.9.9
Micrografx Picture Publisher 7
Microsoft .NET Framework 1.0 Hotfix (KB953295)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Choice Guard
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office XP Professional mit FrontPage
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.6.3)
MSVCRT
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB973688)
Nero 7 Essentials
neroxml
NVIDIA Drivers
Office 2003 Trial Assistant
OpenAL
OpenOffice.org 3.2
Panda ActiveScan 2.0
Pirates of the Caribbean - At Worlds End
PowerCinema Linux 5.0
PowerDVD
Pro Evolution Soccer 2010
Ralink Wireless LAN-Karte
RealPlayer
Realtek High Definition Audio Driver
RealUpgrade 1.0
Reason 4.0
RocketDock 1.3.5
Segoe UI
Shop for HP Supplies
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969897)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB980232)
Skype™ 4.2
SopCast 3.0.3
Spelling Dictionaries Support For Adobe Reader 8
Spybot - Search & Destroy
SweetIM for Messenger 2.6
System Requirements Lab
Thrustmaster FFB Driver
TuneUp Utilities 2008
TV Enhance
TVUPlayer 2.4.9.1
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 8 (KB971930)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows Internet Explorer 8 (KB976749)
Update für Windows Internet Explorer 8 (KB980182)
Update für Windows Media Player 10 (KB913800)
Update für Windows Media Player 10 (KB926251)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB961503)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update Rollup 2 für Windows XP Media Center Edition 2005
USB2.0 CARD READER
VC80CRTRedist - 8.0.50727.4053
Veetle TV Player 0.9.14
VeohTV BETA
VIA Platform Device Manager
VIA Rhine-Family Fast Ethernet Adapter
VideoLAN VLC media player 0.8.4a
Virtual CD v9
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Windows Imaging Component
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Connect
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Media Center Edition 2005 KB908246
Windows XP Media Center Edition 2005 KB925766
Windows XP Media Center Edition 2005 KB973768
Windows XP Service Pack 3
Windows-Sicherungsprogramm
WinRAR
X10 Hardware(TM)
XviD MPEG-4 Codec
YOU DON'T KNOW JACK®
---------------------------------------------
Panda Active Scan 2.0
-------------------------------
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-05-22 23:29:14
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! Antivirus 5.0.83886625 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\''sera-sun''\cookies\''sera-sun''@atdmt[1].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\dokumente und einstellungen\°°#dekstroe#°°\cookies\°°#dekstroe#°°@°°[17].txt
00167749 Cookie/Toplist TrackingCookie No 0 Yes No c:\dokumente und einstellungen\°°#dekstroe#°°\cookies\°°#dekstroe#°°@°°[29].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\dokumente und einstellungen\°°#dekstroe#°°\cookies\°°#dekstroe#°°@°°[60].txt
01076997 Generic Trojan Virus/Trojan No 0 Yes No g:\system volume information\_restore{bdb02021-8c9d-4bd9-bab5-977838cc146d}\rp5\a0000753.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\programme\slysoft\anydvd\regcheck.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No d:\tools\sceneo bonavista (0.9)\data1.cab[killodsbcapp.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

So,das waren glaube ich alle Logs,die ich gespeichert habe.
Vielleicht wir jemand schlau draus und kann mir helfen,das wäre sehr nett!!!

Gruß Robi
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

23.05.2010, 19:40

virenfinder

Member

Beiträge: 3716

#2 CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da
diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits
verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren
laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren.
Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der
Bereinigung rückgängig machen.

Lade
http://www.jpshortstuff.247fixes.com/Defogger.exe
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

starte nun bitte combofix, poste das log.

23.05.2010, 19:46

Robi

Member

Themenstarter

Beiträge: 56

#3 Hey,das ging ja schnell mit der ersten Antwort,supi!! :-)

Also habe Defogger benutzt.Allerdings wurde ich nicht nach einem Neustart gefragt.
Hier die Logfile:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:44 on 23/05/2010 (''SeRa-SuN'')

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled

-=E.O.F=-

Werde jetzt manuell rebooten.Bis gleich ;-)
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

23.05.2010, 19:54

virenfinder

Member

Beiträge: 3716

#4 ok bis dahin

23.05.2010, 20:12

Robi

Member

Themenstarter

Beiträge: 56

#5 Hier nun die gewünschte Combofix Logfile:
-------------------------------------------

ComboFix 10-05-22.03 - ''SeRa-SuN'' 23.05.2010 20:00:15.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.558 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\''SeRa-SuN''\Desktop\Test.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Microsoft\HTML Help\hh.dat
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\HTML Help\hh.dat

.
((((((((((((((((((((((( Dateien erstellt von 2010-04-23 bis 2010-05-23 ))))))))))))))))))))))))))))))
.

2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\VDLL.DLL
2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\system32\runouce.exe
2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\RUNDL132.EXE
2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\logo_1.exe
2011-05-14 14:54 . 2011-05-14 14:54 632064 ----a-w- c:\windows\system32\msvcr80.dll
2011-05-14 14:54 . 2011-05-14 14:54 554240 ----a-w- c:\windows\system32\msvcp80.dll
2011-05-14 14:54 . 2011-05-14 14:54 34048 ----a-w- c:\windows\system32\eEmpty.exe
2011-05-14 14:54 . 2008-04-14 02:23 140800 ----a-w- c:\windows\system32\T.COM
2011-05-14 14:54 . 2008-04-14 02:22 153600 ----a-w- c:\windows\R.COM
2011-05-14 14:54 . 2011-05-14 14:54 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2011-05-14 14:54 . 2011-05-14 14:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2011-05-14 14:50 . 2011-05-14 14:50 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2011-05-13 09:57 . 2011-05-13 09:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Microsoft
2010-05-22 21:36 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-22 21:36 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-21 16:36 . 2010-05-22 07:27 79488 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\jre1.6.0_20\gtapi.dll
2010-05-21 16:36 . 2010-05-22 07:27 152576 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\jre1.6.0_20\lzma.dll
2010-05-21 16:33 . 2010-05-21 16:33 -------- d-----w- c:\programme\Winamp Detect
2010-05-21 16:23 . 2010-05-21 16:27 -------- d-----w- c:\programme\StartUpManager
2010-05-20 23:00 . 2010-05-20 23:00 0 ----a-w- c:\windows\system32\SBRC.dat
2010-05-20 22:00 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-05-20 21:59 . 2010-05-20 21:59 -------- d-----w- c:\programme\Panda Security
2010-05-20 19:33 . 2010-05-20 19:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-20 19:33 . 2010-05-20 19:33 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-19 18:31 . 2010-05-19 18:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sunbelt
2010-05-18 22:05 . 2010-05-18 22:05 -------- d---a-w- c:\windows\rundll16.exe
2010-05-18 22:05 . 2010-05-18 22:05 -------- d---a-w- c:\windows\logo1_.exe
2010-05-18 22:04 . 2010-05-18 22:04 503808 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-100e21e6-n\msvcp71.dll
2010-05-18 22:04 . 2010-05-18 22:04 499712 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-100e21e6-n\jmc.dll
2010-05-18 22:04 . 2010-05-18 22:04 348160 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-100e21e6-n\msvcr71.dll
2010-05-18 22:04 . 2010-05-18 22:04 61440 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-166ee336-n\decora-sse.dll
2010-05-18 22:04 . 2010-05-18 22:04 12800 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-166ee336-n\decora-d3d.dll
2010-05-18 16:04 . 2010-05-18 16:04 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Malwarebytes
2010-05-18 16:02 . 2010-05-18 16:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-18 16:02 . 2010-05-22 21:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-16 21:54 . 2010-05-06 20:33 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-05-16 21:54 . 2010-05-06 20:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-05-16 21:54 . 2010-05-06 20:39 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-05-16 21:54 . 2010-05-06 20:34 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-05-16 21:54 . 2010-05-06 20:33 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-05-16 21:54 . 2010-05-06 20:33 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-05-16 21:54 . 2010-05-06 20:33 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-05-16 21:54 . 2010-05-06 20:59 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-05-16 21:54 . 2010-05-06 20:59 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-05-16 21:54 . 2010-05-16 21:54 -------- d-----w- c:\programme\Alwil Software
2010-05-16 21:54 . 2010-05-16 21:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-05-16 16:15 . 2010-02-04 15:53 2954656 -c----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-05-16 16:15 . 2010-05-21 18:27 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-05-15 11:19 . 2010-05-22 07:28 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-15 11:12 . 2010-05-15 11:12 -------- d-----w- c:\programme\JRE
2010-05-11 21:00 . 2010-05-11 21:00 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Media Player Classic
2010-05-11 20:59 . 2010-05-11 20:59 -------- d-----w- c:\programme\Combined Community Codec Pack
2010-05-11 20:44 . 2010-05-11 20:44 -------- d-----w- c:\programme\LD-Anime
2010-05-03 06:59 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-05-03 06:59 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-05-03 06:59 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-03 06:59 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-04-28 18:41 . 2010-04-28 18:42 5514304 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\TVU networks\AutoUpgrade\TVUPlayer2.5.2.2.exe
2010-04-28 18:41 . 2010-04-28 18:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-04-27 08:51 . 2010-04-27 08:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-13 14:44 . 2009-09-23 18:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2011-05-13 14:41 . 2008-03-21 14:07 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition
2011-05-13 14:40 . 2009-08-18 01:05 -------- d-----w- c:\programme\MSBuild
2011-05-12 19:31 . 2009-11-19 08:23 -------- d-----w- c:\programme\JDownloader
2010-05-22 07:28 . 2007-11-16 07:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-05-22 06:57 . 2010-05-22 06:57 49152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-05-22 06:57 . 2010-05-22 06:57 40960 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-05-22 06:57 . 2010-05-22 06:57 308808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-05-22 06:57 . 2010-05-22 06:57 14848 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-05-22 06:57 . 2010-05-22 06:57 341600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-05-22 06:57 . 2006-12-03 14:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2010-05-22 06:57 . 2006-12-03 14:45 -------- d-----w- c:\programme\Real
2010-05-22 06:57 . 2010-05-22 06:57 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2010-05-21 18:27 . 2007-08-08 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-05-21 17:27 . 2009-01-28 21:31 1 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-21 16:33 . 2006-11-29 16:40 -------- d-----w- c:\programme\Winamp
2010-05-21 15:56 . 2009-08-25 06:37 -------- d-----w- c:\programme\Gothic III
2010-05-21 14:39 . 2006-12-07 03:51 -------- d-----w- c:\programme\BitComet
2010-05-21 06:21 . 2006-10-23 10:47 -------- d-----w- c:\programme\Home Cinema
2010-05-21 06:18 . 2009-03-04 18:23 -------- d-----w- c:\programme\TVAnts
2010-05-21 06:17 . 2006-10-09 10:20 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-19 20:07 . 2007-07-19 17:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-16 16:14 . 2007-06-21 11:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-05-15 18:01 . 2006-11-29 14:01 96760 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-15 11:12 . 2009-01-28 21:25 -------- d-----w- c:\programme\OpenOffice.org 3
2010-05-12 08:50 . 2008-03-25 16:14 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\dvdcss
2010-05-12 08:23 . 2009-05-26 17:02 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Skype
2010-05-12 06:08 . 2007-12-17 17:56 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\skypePM
2010-04-28 18:41 . 2009-12-08 20:25 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\TVU networks
2010-04-28 18:41 . 2009-03-04 18:52 -------- d-----w- c:\programme\TVUPlayer
2010-04-25 18:22 . 2006-12-11 18:58 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-04-21 17:15 . 2010-04-21 17:15 16 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\kcmdte.dat
2010-04-14 08:18 . 2006-03-24 12:00 83876 ----a-w- c:\windows\system32\perfc007.dat
2010-04-14 08:18 . 2006-03-24 12:00 457334 ----a-w- c:\windows\system32\perfh007.dat
2010-03-29 08:18 . 2007-07-19 17:00 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-03-29 07:59 . 2009-02-10 20:49 -------- d-----w- c:\programme\Veetle
2010-03-29 07:58 . 2009-01-05 20:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KONAMI
2010-03-21 09:19 . 2007-03-09 21:17 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2010-03-21 09:19 . 2007-03-09 21:17 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2010-03-10 06:15 . 2006-03-24 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-03-24 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2008-12-24 11:22 . 2008-12-24 11:13 24 --sh--w- c:\windows\S66612994.tmp
2006-10-09 11:55 . 2006-10-09 11:55 8 --sh--r- c:\windows\system32\EC23ACB85A.sys
2006-10-09 11:55 . 2006-10-09 11:55 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-05-22 202256]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-10-07 12:33 13574144 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TVESched"=3 (0x3)
"TVECapSvc"=3 (0x3)
"Lavasoft Ad-Aware Service"=2 (0x2)
"KLBLMain"=3 (0x3)
"ehSched"=2 (0x2)
"ehRecvr"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ArcSoft Connection Service"=c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"snpstd3"=c:\windows\vsnpstd3.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Spiele\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Spiele\\Pro Evo 2010\\pes2010.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [21.05.2010 00:00 28552]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.05.2010 23:54 164048]
R1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
R1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys [?]
R1 vdrv9000;vdrv9000;c:\windows\system32\drivers\vdrv9000.sys [24.08.2009 21:30 106496]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.05.2010 23:54 19024]
R2 VC9SecS;Virtual CD v9 Management Service;c:\programme\Virtual CD v9\System\vc9secs.exe [24.08.2009 21:29 132416]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [17.10.2006 12:28 1105664]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [23.10.2006 12:37 7040]
S0 blgxkilc;blgxkilc;c:\windows\system32\drivers\ssnupadx.sys --> c:\windows\system32\drivers\ssnupadx.sys [?]
S1 oreans32;oreans32;\??\c:\windows\system32\drivers\oreans32.sys --> c:\windows\system32\drivers\oreans32.sys [?]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\drivers\ArcSoftKsUFilter.sys [14.05.2009 21:43 13184]
S3 DMSKSSRh;DMSKSSRh;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\DMSKSSRh.sys --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\DMSKSSRh.sys [?]
S3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [24.08.2009 21:30 11392]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [17.07.2008 04:00 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [17.07.2008 04:00 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [17.07.2008 04:00 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [17.07.2008 04:00 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [17.07.2008 04:00 98568]
S3 SASENUM;SASENUM;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS [?]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [11.12.2006 19:36 223128]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S4 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [23.10.2006 12:50 282709]
S4 TVESched;TVEnhance Task Scheduler (TTS));c:\programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [23.10.2006 12:50 122971]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-05-23 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-18 03:36]

2010-05-23 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2264717200-4286914280-695082641-1008.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-05-22 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2264717200-4286914280-695082641-1008.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.15\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
TCP: {FC267DC5-F8D1-447B-A3C4-677725C11E32} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - component: c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npagent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2264717200-4286914280-695082641-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9E710852-0A0E-2ED8-644E-5FD653D19235}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abpolomkhjpclcehaikamjnbcffmaekjjp"=hex:61,61,00,00
"bbpolomkhjpclcehaidclhabgicmfpefogmh"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-2264717200-4286914280-695082641-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b9,ac,a1,32,76,17,c9,33,c6,b5,ea,8c,8f,f9,ee,97,74,8a,54,c4,75,08,95,
22,70,9f,33,24,2a,cc,0c,39,53,c5,cc,dd,2f,f5,5a,28,f9,af,4c,8a,83,54,ef,dc,\
"??"=hex:f1,76,9a,06,64,d4,95,10,95,93,a7,38,4a,2f,e1,94

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-05-23 20:06:06
ComboFix-quarantined-files.txt 2010-05-23 18:06

Vor Suchlauf: 15 Verzeichnis(se), 191.329.640.448 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 191.429.640.192 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /TUTag=BAHY0G /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=BAHY0G-BAK

- - End Of File - - 986127022881AFD0B5A4CC4CB6D2B674
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

23.05.2010, 20:39

virenfinder

Member

Beiträge: 3716

#6 Klicke
"start" "programme" "zubehör" "editor"

kopiere rein.

Killall::
Rootkit::
c:\windows\system32\drivers\ssnupadx.sys
C:\WINDOWS\system32\DRIVERS\vdrv9000.sys
c:\windows\system32\drivers\oreans32.sys
Driver::
blgxkilc
oreans32
Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\vdrv9000]
[-HKLM\SYSTEM\ControlSet003\Services\vdrv8000]

Datei speichern unter, name cfscript.txt
speicherort, dort wo combofix gespeichert ist, ziehe cfscript auf combofix, programm startet, log posten.

23.05.2010, 20:57

Robi

Member

Themenstarter

Beiträge: 56

#7 also die Datei lässt sich leider nicht abspeichern,liegt es daran,dass ich die Combofix.exe in Test.exe umbenannt habe,?Des weiteren habe ich auf C:/ den dazugehörigen Test-Ordner gefunden,aber auch in diesem kann ich die Datei nicht abspeichern..Die .exe befindet sich auf dem Desktop.

Irgend ne Idee?¿
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

23.05.2010, 21:01

Robi

Member

Themenstarter

Beiträge: 56

#8 habs,da war ein sternchen im dateinamen,das habe ich rausgenommen.jetzt ist die datei erstellt.
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

23.05.2010, 21:05

virenfinder

Member

Beiträge: 3716

#9 ich verstehe nicht was du meinst.
du sollst das von oben in den editor kopieren, datei speichern unter, typ alle dateien, name cfscript.txt
die speichern auf die test.exe ziehen, programm startet und dann das log posten

23.05.2010, 21:29

Robi

Member

Themenstarter

Beiträge: 56

#10 habe alles soweit hinbekommen,wie du beschrieben hast.nun ist leider combofix hängen geblieben(das programm ist bis zum scan gekommen,hat dann aber keinen schritt aufgelistet und es war auch nichts von der festplatte her zu hören,dass der pc arbeitet.habe vorher avast ausgeschaltet,da kam-wie gewohnt-die warnung vom windows-security-center,dass das system ungeschützt sei.verwunderlicherweise kam beim start von combofix noch einmal das symbol,es waren dann also zwei gleiche symbole in der taskleiste...als ich dann ins board wollte wurden jegliche seiten,die ich aufrufen wollte geblockt,bei firefox sowie beim internet-explorer.

was nun?
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

23.05.2010, 21:35

virenfinder

Member

Beiträge: 3716

#11 starte den pc im abgesicherten modus, normalerweise sollte das gehen, in dem du die f8-taste drückst.
vorher musst du wohl noch mal das cfscript erstellen. dann das cfscript im abgesicherten modus erneut ausführen und dann das log posten

23.05.2010, 22:01

Robi

Member

Themenstarter

Beiträge: 56

#12 So,das war jetzt fast komplett,nur beim Herunterfahren blieb er hängen.Habs einfach nochmals versucht,ohne abgesicherten Modus,bevor du gepostet hattest.Dann ging es,bis auf das Herunterfahren.Aber Combofix hat das Log trotzdem erstellen können.

ComboFix 10-05-23.01 - ''SeRa-SuN'' 23.05.2010 21:33:27.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.666 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\''SeRa-SuN''\Desktop\Test.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\''SeRa-SuN''\Desktop\cfscript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BLGXKILC
-------\Legacy_OREANS32
-------\Service_blgxkilc
-------\Service_oreans32
-------\Service_vdrv9000

((((((((((((((((((((((( Dateien erstellt von 2010-04-23 bis 2010-05-23 ))))))))))))))))))))))))))))))
.

2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\VDLL.DLL
2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\system32\runouce.exe
2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\RUNDL132.EXE
2011-05-14 14:59 . 2011-05-14 14:59 -------- d---a-w- c:\windows\logo_1.exe
2011-05-14 14:54 . 2011-05-14 14:54 632064 ----a-w- c:\windows\system32\msvcr80.dll
2011-05-14 14:54 . 2011-05-14 14:54 554240 ----a-w- c:\windows\system32\msvcp80.dll
2011-05-14 14:54 . 2011-05-14 14:54 34048 ----a-w- c:\windows\system32\eEmpty.exe
2011-05-14 14:54 . 2008-04-14 02:23 140800 ----a-w- c:\windows\system32\T.COM
2011-05-14 14:54 . 2008-04-14 02:22 153600 ----a-w- c:\windows\R.COM
2011-05-14 14:54 . 2011-05-14 14:54 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2011-05-14 14:54 . 2011-05-14 14:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2011-05-14 14:50 . 2011-05-14 14:50 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2011-05-13 09:57 . 2011-05-13 09:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Microsoft
2010-05-23 17:56 . 2010-05-23 18:06 -------- d-----w- C:\Test
2010-05-22 21:36 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-22 21:36 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-21 16:36 . 2010-05-22 07:27 79488 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\jre1.6.0_20\gtapi.dll
2010-05-21 16:36 . 2010-05-22 07:27 152576 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\jre1.6.0_20\lzma.dll
2010-05-21 16:33 . 2010-05-21 16:33 -------- d-----w- c:\programme\Winamp Detect
2010-05-21 16:23 . 2010-05-21 16:27 -------- d-----w- c:\programme\StartUpManager
2010-05-20 23:00 . 2010-05-20 23:00 0 ----a-w- c:\windows\system32\SBRC.dat
2010-05-20 22:00 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-05-20 21:59 . 2010-05-20 21:59 -------- d-----w- c:\programme\Panda Security
2010-05-20 19:33 . 2010-05-20 19:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-20 19:33 . 2010-05-20 19:33 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-19 18:31 . 2010-05-19 18:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sunbelt
2010-05-18 22:05 . 2010-05-18 22:05 -------- d---a-w- c:\windows\rundll16.exe
2010-05-18 22:05 . 2010-05-18 22:05 -------- d---a-w- c:\windows\logo1_.exe
2010-05-18 22:04 . 2010-05-18 22:04 503808 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-100e21e6-n\msvcp71.dll
2010-05-18 22:04 . 2010-05-18 22:04 499712 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-100e21e6-n\jmc.dll
2010-05-18 22:04 . 2010-05-18 22:04 348160 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-100e21e6-n\msvcr71.dll
2010-05-18 22:04 . 2010-05-18 22:04 61440 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-166ee336-n\decora-sse.dll
2010-05-18 22:04 . 2010-05-18 22:04 12800 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-166ee336-n\decora-d3d.dll
2010-05-18 16:04 . 2010-05-18 16:04 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Malwarebytes
2010-05-18 16:02 . 2010-05-18 16:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-18 16:02 . 2010-05-22 21:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-16 21:54 . 2010-05-06 20:33 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-05-16 21:54 . 2010-05-06 20:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-05-16 21:54 . 2010-05-06 20:39 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-05-16 21:54 . 2010-05-06 20:34 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-05-16 21:54 . 2010-05-06 20:33 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-05-16 21:54 . 2010-05-06 20:33 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-05-16 21:54 . 2010-05-06 20:33 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-05-16 21:54 . 2010-05-06 20:59 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-05-16 21:54 . 2010-05-06 20:59 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-05-16 21:54 . 2010-05-16 21:54 -------- d-----w- c:\programme\Alwil Software
2010-05-16 21:54 . 2010-05-16 21:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-05-16 16:15 . 2010-02-04 15:53 2954656 -c----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-05-16 16:15 . 2010-05-21 18:27 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-05-15 11:19 . 2010-05-22 07:28 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-15 11:12 . 2010-05-15 11:12 -------- d-----w- c:\programme\JRE
2010-05-11 21:00 . 2010-05-11 21:00 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Media Player Classic
2010-05-11 20:59 . 2010-05-11 20:59 -------- d-----w- c:\programme\Combined Community Codec Pack
2010-05-11 20:44 . 2010-05-11 20:44 -------- d-----w- c:\programme\LD-Anime
2010-05-03 06:59 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-05-03 06:59 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-05-03 06:59 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-03 06:59 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-04-28 18:41 . 2010-04-28 18:42 5514304 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\TVU networks\AutoUpgrade\TVUPlayer2.5.2.2.exe
2010-04-28 18:41 . 2010-04-28 18:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-04-27 08:51 . 2010-04-27 08:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-13 14:44 . 2009-09-23 18:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2011-05-13 14:41 . 2008-03-21 14:07 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition
2011-05-13 14:40 . 2009-08-18 01:05 -------- d-----w- c:\programme\MSBuild
2011-05-12 19:31 . 2009-11-19 08:23 -------- d-----w- c:\programme\JDownloader
2010-05-22 07:28 . 2007-11-16 07:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-05-22 06:57 . 2010-05-22 06:57 49152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-05-22 06:57 . 2010-05-22 06:57 45056 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-05-22 06:57 . 2010-05-22 06:57 40960 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-05-22 06:57 . 2010-05-22 06:57 308808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-05-22 06:57 . 2010-05-22 06:57 14848 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-05-22 06:57 . 2010-05-22 06:57 341600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-05-22 06:57 . 2006-12-03 14:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2010-05-22 06:57 . 2006-12-03 14:45 -------- d-----w- c:\programme\Real
2010-05-22 06:57 . 2010-05-22 06:57 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2010-05-21 18:27 . 2007-08-08 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-05-21 17:27 . 2009-01-28 21:31 1 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-21 16:33 . 2006-11-29 16:40 -------- d-----w- c:\programme\Winamp
2010-05-21 15:56 . 2009-08-25 06:37 -------- d-----w- c:\programme\Gothic III
2010-05-21 14:39 . 2006-12-07 03:51 -------- d-----w- c:\programme\BitComet
2010-05-21 06:21 . 2006-10-23 10:47 -------- d-----w- c:\programme\Home Cinema
2010-05-21 06:18 . 2009-03-04 18:23 -------- d-----w- c:\programme\TVAnts
2010-05-21 06:17 . 2006-10-09 10:20 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-19 20:07 . 2007-07-19 17:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-16 16:14 . 2007-06-21 11:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-05-15 18:01 . 2006-11-29 14:01 96760 ----a-w- c:\dokumente und einstellungen\''SeRa-SuN''\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-15 11:12 . 2009-01-28 21:25 -------- d-----w- c:\programme\OpenOffice.org 3
2010-05-12 08:50 . 2008-03-25 16:14 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\dvdcss
2010-05-12 08:23 . 2009-05-26 17:02 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Skype
2010-05-12 06:08 . 2007-12-17 17:56 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\skypePM
2010-04-28 18:41 . 2009-12-08 20:25 -------- d-----w- c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\TVU networks
2010-04-28 18:41 . 2009-03-04 18:52 -------- d-----w- c:\programme\TVUPlayer
2010-04-25 18:22 . 2006-12-11 18:58 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-04-21 17:15 . 2010-04-21 17:15 16 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\kcmdte.dat
2010-04-14 08:18 . 2006-03-24 12:00 83876 ----a-w- c:\windows\system32\perfc007.dat
2010-04-14 08:18 . 2006-03-24 12:00 457334 ----a-w- c:\windows\system32\perfh007.dat
2010-03-29 08:18 . 2007-07-19 17:00 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-03-29 07:59 . 2009-02-10 20:49 -------- d-----w- c:\programme\Veetle
2010-03-29 07:58 . 2009-01-05 20:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KONAMI
2010-03-21 09:19 . 2007-03-09 21:17 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2010-03-21 09:19 . 2007-03-09 21:17 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2010-03-10 06:15 . 2006-03-24 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-03-24 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2008-12-24 11:22 . 2008-12-24 11:13 24 --sh--w- c:\windows\S66612994.tmp
2006-10-09 11:55 . 2006-10-09 11:55 8 --sh--r- c:\windows\system32\EC23ACB85A.sys
2006-10-09 11:55 . 2006-10-09 11:55 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-05-22 202256]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-10-07 12:33 13574144 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TVESched"=3 (0x3)
"TVECapSvc"=3 (0x3)
"Lavasoft Ad-Aware Service"=2 (0x2)
"KLBLMain"=3 (0x3)
"ehSched"=2 (0x2)
"ehRecvr"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ArcSoft Connection Service"=c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"snpstd3"=c:\windows\vsnpstd3.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Spiele\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Spiele\\Pro Evo 2010\\pes2010.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [21.05.2010 00:00 28552]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.05.2010 23:54 164048]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.05.2010 23:54 19024]
R2 VC9SecS;Virtual CD v9 Management Service;c:\programme\Virtual CD v9\System\vc9secs.exe [24.08.2009 21:29 132416]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [17.10.2006 12:28 1105664]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [23.10.2006 12:37 7040]
S1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys [?]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\drivers\ArcSoftKsUFilter.sys [14.05.2009 21:43 13184]
S3 DMSKSSRh;DMSKSSRh;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\DMSKSSRh.sys --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\DMSKSSRh.sys [?]
S3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [24.08.2009 21:30 11392]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [17.07.2008 04:00 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [17.07.2008 04:00 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [17.07.2008 04:00 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [17.07.2008 04:00 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [17.07.2008 04:00 98568]
S3 SASENUM;SASENUM;\??\c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS --> c:\dokume~1\''SERA~1\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS [?]
S3 vaxscsi;vaxscsi;c:\windows\system32\drivers\vaxscsi.sys [11.12.2006 19:36 223128]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S4 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [23.10.2006 12:50 282709]
S4 TVESched;TVEnhance Task Scheduler (TTS));c:\programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [23.10.2006 12:50 122971]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-05-23 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-18 03:36]

2010-05-23 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2264717200-4286914280-695082641-1008.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-05-22 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2264717200-4286914280-695082641-1008.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.15\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
TCP: {FC267DC5-F8D1-447B-A3C4-677725C11E32} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - component: c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\''SeRa-SuN''\Anwendungsdaten\Mozilla\Firefox\Profiles\9odyv07b.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\real\realplayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npagent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-23 21:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2264717200-4286914280-695082641-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9E710852-0A0E-2ED8-644E-5FD653D19235}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abpolomkhjpclcehaikamjnbcffmaekjjp"=hex:61,61,00,00
"bbpolomkhjpclcehaidclhabgicmfpefogmh"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-2264717200-4286914280-695082641-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b9,ac,a1,32,76,17,c9,33,c6,b5,ea,8c,8f,f9,ee,97,74,8a,54,c4,75,08,95,
22,70,9f,33,24,2a,cc,0c,39,53,c5,cc,dd,2f,f5,5a,28,f9,af,4c,8a,83,54,ef,dc,\
"??"=hex:f1,76,9a,06,64,d4,95,10,95,93,a7,38,4a,2f,e1,94

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3208)
c:\programme\RocketDock\RocketDock.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Nero\Nero 7\Nero 7\InCD\InCDsrv.exe
c:\programme\Alwil Software\Avast5\AvastSvc.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-23 21:57:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-23 19:57
ComboFix2.txt 2010-05-23 18:06

Vor Suchlauf: 16 Verzeichnis(se), 191.431.962.624 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 191.220.064.256 Bytes frei

- - End Of File - - B224B3CECB5815C92DF48C1DE5FBDE92
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

24.05.2010, 10:56

Robi

Member

Themenstarter

Beiträge: 56

#13 Hallo,wie sieht es nun aus?
Dankeschön erstmal soweit.Scheint zumindest so,als ob die Rootkits gekillt wurden!?
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

24.05.2010, 11:44

virenfinder

Member

Beiträge: 3716

#14 ich habe auch noch n privat leben und mache das in meiner freizeit.
:-)
1. ordneroptionen einstellen:
http://www.hijackthis-forum.de/tipps-tricks/30790-dateien-sichtbar-machen.html
2. CCleaner:
Bitte bereinige den PC, beachte bitte, zusätzliche Ordner und Registry bereinigen.
http://www.hijackthis-forum.de/tipps-tricks/25986-CCleaner-anleitung.html
3. die Systemwiederherstellung de- und reaktivieren:
http://www.
bitte vor dem reaktiviren 5 min warten.
erstelle und poste einen neuen gmer report

24.05.2010, 14:02

Robi

Member

Themenstarter

Beiträge: 56

#15 Sorry,ich wollte dich ja nicht hetzen und bin sehr froh drüber,dass es Leute wie dich gibt,die einem helfen können.Danke nochmals dafür :-)
Hier nun das angeforderte GMER LOG:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-24 14:00:19
Windows 5.1.2600 Service Pack 3
Running: s5b3wx4l.exe; Driver: C:\DOKUME~1\''SERA~1\LOKALE~1\Temp\fgtdipow.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF3C00C7A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF3C00B36]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xF3C010EA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF3C01014]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF3C0070C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF3C00C10]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF3C0064C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF3C006B0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF3C00D30]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xF3C011B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF3C00CF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF3C00E70]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xF3C0DAC6]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xF3C0D8EA]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xF3C0DA24]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text TUKERNEL.EXE!ZwYieldExecution + 172 804E49AC 4 Bytes JMP F5F3C010
PAGE TUKERNEL.EXE!ObInsertObject 8056DA64 5 Bytes JMP F3C0AEC2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE TUKERNEL.EXE!NtCreateSection 8056DB66 7 Bytes JMP F3C0D8EE \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE TUKERNEL.EXE!ZwCreateProcessEx 8058B7CD 7 Bytes JMP F3C0DACA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE TUKERNEL.EXE!ZwLoadDriver 805A8F96 7 Bytes JMP F3C0DA28 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE TUKERNEL.EXE!ObMakeTemporaryObject 805E6A62 5 Bytes JMP F3C09536 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.sfrelocÿÿÿÿsfsync04unknown last section [0xF7741000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xF7741000, 0xBC6, 0x40000040]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6702360, 0x32E00D, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xBAA79300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7AB3300, 0x1B7E, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[664] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[664] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation)
Device sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort0 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort1 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\atapi \Device\Ide\IdePort2 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000091 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000094 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device \Driver\usbstor \Device\00000095 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbstor \Device\00000096 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x01 0x38 0x3E 0xBC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7E 0x7A 0x31 0x1A ...
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@ServiceBinary C:\WINDOWS\system32\drivers\VDRV8000.SYS
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Group SCSI Miniport
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@ImagePath system32\DRIVERS\vdrv8000.sys
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Start 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000@Tag 34
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@Count 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@NextInstance 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@INITSTARTFAILED 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\Enum@0 Root\SCSIADAPTER\0000
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\parameters\pnpinterface (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\parameters\pnpinterface@1 1
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\vdrv8000\security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y! 71230
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9E710852-0A0E-2ED8-644E-5FD653D19235}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9E710852-0A0E-2ED8-644E-5FD653D19235}@abpolomkhjpclcehaikamjnbcffmaekjjp 0x61 0x61 0x00 0x00
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9E710852-0A0E-2ED8-644E-5FD653D19235}@bbpolomkhjpclcehaidclhabgicmfpefogmh 0x61 0x61 0x00 0x00

---- EOF - GMER 1.0.15 ----
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 Letzte Seite